[UTMの機能③]IDS/IPSで不正アクセスを防御
UTMの機能として「IDS/IPS」があります。IDSが「不正侵入検知」、IPSが「不正侵入防止」です。ファイアウォールに加えてIDS/IPSが必要になったことから、多層防御の考え方が生まれ、それを実現するものとしてUTMが開発されました。ここでは、IDS/IPSの機能の詳細や、設置の注意点などについて解説します。
目次
不正侵入を防止/検知するIDS/IPS
IDSとはIntrusion Detection Systemの略で「不正侵入検知システム」と訳されています。IPSとはIntrusion Prevention Systemの略で「不正侵入防止システム」と訳されています。
不正侵入の防止対策ではIDS/IPSの前にファイアウォールがありました。ファイアウォールはパケットのヘッダ情報(入館証)を見て、不審者の侵入を防ぎます。
ところが、正しい入館証を持っている不審者が現れるようになり、顔や態度を見て侵入を防止する機能が必要になり、登場したのがIDS/IPSというわけです。
IDSとIPSの違いは「防止」と「検知」、IDSは検知までなのに対し、IPSは検知・防止までが可能です。IDSでは、不正侵入のアラームがあった後に、手動で侵入の防止を行うという手順を踏むことからタイムラグが生じ、初動に遅れが出る危険性があります。そこで、検知の機能を加え開発されたのがIPSです。
ネットワーク型とホスト型
IDS/IPSは設置場所で「ネットワーク型」と「ホスト型」があります。
- ネットワーク型
- ファイアウォールと同様、企業の外側のネットワークと内側のネットワークの境界に設置します。外からアクセスしてくるパケットを監視し、怪しいものがあると検知したり、侵入を防止したりします。
ファイアウォールと同じ場所にあるため、「1つにまとめてしまおう」との発想が生まれ、これがUTMの開発につながっています。
- ホスト型
- ホスト型は、監視対象となるサーバー、たとえばWEBサーバーなどにインストールして使うタイプのIDS/IPSです。インストールされたホストしか監視できないので、保護したいホストが複数ある場合はそれぞれにインストールする必要があります。
シグニチャ型とアノマリ型
不正侵入データの見つけ方には「シグニチャ型」と「アノマリ型」があります。
- シグニチャ型
- シグネチャ型は不審者の「パターン(シグネチャ)やルール」を記憶し取り締まります。膨大な数の指名手配者の顔写真を記憶し、該当する顔があったら、検知あるいは侵入を防止するようなものです。
パターンやルールは、データベース化され、ブラックリストとなっていることから、高い精度で検知できます。ただし、データベース化されていない不審者は検知できない弱みがあります。
- アノマリ型
- シグニチャ型の弱みをカバーするのがアノマリ型です。アノマリ型は動きに注目し、登録されていない不審者を見つけます。異常検出とも呼ばれます。「サーバーに侵入しようとする」というような不審な動きをキャッチします。人間で言えば「普通の人よりキョロキョロしている」「下ばかりむいて、顔を隠そうとする」などがこれにあたります。
現在のIDS/IPSではシグニチャ型とアノマリ型、両方の機能が搭載されているものが多くなっています。
IDS/IPSを設置する際の注意点と対策
IDSに侵入防止機能を加えたのがIPSです。今では両方とも提供する機器が多くなったことからIPS/IDSとまとめて呼ばれています。ここで、「IPSだけでいいのではないか?なんでIDSが必要なの?」と思われるかもしれません。ここに設定上のノウハウや注意点があります。
IPSを設置して侵入を防止すると、正しいデータの中に届かないものが出てくる場合があります。防止してしまってからでは手遅れになることから、通知だけでいい場合にはIDSが利用されます。IDSとIPSは、企業のセキュリティ対策の目的や精度に応じて組み合わせて利用します。
また、シグニチャ型はデータベースをカスタマイズできます。自社にあったデータベースを作成し、必要に応じて、データベースを複数持って運用することもできます。
アノマリ型では、設定を厳しくすると誤検知が多くなります。かといって甘くすると不審者を通してしまうことがあります。ここにもノウハウが求められます。
優れた機能を有するIDS/IPSですが、単体ではすべての侵入を防ぐことはできず、ファイアウォールとの組み合わせが必須です。もっともファイアウォールとIDS/IPSだけでは、WEBアプリケーションレベルの脆弱性に対する攻撃まではカバーできません。アプリケーションレベルの脆弱性対策には、WAF(WEB Application Firewall)を準備する必要があります。
ポイントまとめ
UTMの機能の1つとしてIDS/IPSを搭載
IDS/IPSは、不正侵入の検知で大きな効果をあげます。ただし、単独の使用では、セキュリティ対策としては不十分です。他の機能とあわせてご利用いただくのがオススメです。