不正なトラフィックからネットワークを防御するにはIDSが有効です。
IDSは不審な動きを察知して知らせてくれるので、事前に対処して被害を未然に防ぐことも可能です。ここではIDSの概要や仕組みについて、またIDSの機能を備えたIPSやUTMのセキュリティツールもあわせて紹介します。
企業がやるべきセキュリティ対策をまとめたチェックリスト30項目を無料で配布しています。
IDSとは
IDS(Intrusion Detection System)は「侵入検知システム」とも訳されます。
IDSはネットワークのセキュリティを守る手段としてファイアウォールと一緒に運用されます。ファイアウォールでは防げない不正または異常なトラフィックの検知・通知ツールとして有用です。IDSはネットワークのトラフィックを常時監視し、脅威のパターンを集めたデータベース「シグネチャ」を参照し、不正侵入を検知したらシステム管理者に通知するものです。
IDSで脅威の兆しを察知したら、管理者は先回りしてセキュリティ管理の強化や対処を実施します。IDS単独では脅威に対処できないものの、不正アクセスを試みたログの取得と分析により、勘所を押さえたセキュリティ強化策がとれます。
IDSとIPSの違い
IPS(Intrusion Prevention System)は「侵入防止システム」なので、IDSと異なり、通信遮断等の対処まで行えます。
IDSは不正なトラフィックの検知・通知システムのため、脅威の検知から対処までにタイムラグが生じます。IPSであれば検知と同時に何らかの防御処置を適用できるため、脅威への迅速な対応が可能です。ただ、IPSは誤検知することもあるため、継続的なチューニングが必要です。
設定具合を見誤ると、正常な通信を遮断し業務に影響を及ぼす恐れがあります。自社環境とリスクのさじ加減をうまく判斷し、安定運用していくにはそれなりの技術力が必要です。
防御措置を即適用させたいならIPS
IDSの検知・通知システムによる都度対応でなく、常に自動で防御処置を適用させたいならIPSがおすすめです。
IDSでは通知されてから対処に着手するため、どうしてもタイムラグが生じます。IPSは誤検知があったにせよ、自動制御なら人手がかからず、検知と同時に不正なトラフィックをブロックできます。
コストを抑えたいならUTMを検討
ネットワークのセキュリティツールにはさまざまあり、製品を機能別に個々に揃えていくと費用や管理コストがかかります。そこで、UTM(Unified Threat Management / 統合脅威管理)を採用すれば、運用コストを大きく抑えられます。
UTMは平たくいうと、複数のセキュリティ機能を集約した機器やシステムのことです。UTMでネットワークセキュリティ周りを一括管理すれば面倒がないという仕組みです。
UTMにおいては各ベンダーから提供される専用の製品を利用するのが一般的です。製品によって利用できる機能に違いがありますが、ファイアウォールやVPN、IDS/IPS、Webフィルタリングなどのセキュリティ機能を備えています。
ただし、単体機能の製品に比べて能力や拡張性に劣ることがあること、故障すればネットワーク全体が不通になるリスクがあることに注意しましょう。万能だからと過信せず、通信量に応じて適正な設置を行わないとパフォーマンス低下に見舞われる恐れもあります。
IDSの種類と検知の仕組み
IDSには3つの実装方法があり、また検知の仕組みが2つあります。
IDSの実装タイプ
IDSはどこに実装するかによって3つのタイプに分けられます。
- ネットワーク型
- ホスト型
- クラウド型
ネットワーク型
ネットワークに設置して通信パケットを監視しするタイプです。ネットワークを通過する不正なトラフィックの兆候を察知すると、記録を行い管理者に通知します。ネットワーク上にあるすべての機器を対象に脅威から守ります。
ホスト型
特定のサーバーにインストールし、ログファイル等の改ざん、不審な挙動の検知・通知ができます。ネットワーク型に比べるとより精緻な検知が可能ですが、機器ごとの導入が必要です。
クラウド型
クラウド型はシンプルな設定で運用負担を抑えられます。便利な反面、クラウドサービスの稼働状況に依存するのが欠点です。万一ベンダー側で障害が発生すると、社内ネットワークが事実上利用できなくなる恐れがあります。
IDSにおける検知の仕組み
IDSの検知の仕組みには「シグネチャ型」「アノマリ型」の2種類あります。
シグネチャ型
シグネチャ型は、監視対象との通信と「シグネチャ(攻撃手法の登録データベース)」を照合して、不正なトラフィックでないかを判断します。誤検知の可能性は低いですが、最新の脅威に対応するため、定期的にシグネチャを更新する必要があります。
アノマリ型
アノマリ型はシグネチャ型と異なり、未知の脅威も検知できるのが利点です。アノマリ型では通常とは異なるふるまいかどうかを判断し脅威を検知します。アノマリ型は誤検知を起こすことがあるため、調整が適宜必要になります。
IDSで検知可能な脅威の種類
IDSで検知できる脅威は、ネットワークにおいて不正または異常なトラフィックを引き起こすものです。ここではIDSで検知可能な対象と検知しにくい脅威についてまとめました。
IDSで検知可能な脅威
IDSでは、システムダウンを引き起こす攻撃や、システム内部に巣食うマルウェア類の挙動を検知可能です。
システムダウン・異常動作を引き起こす攻撃
IDSはネットワークに大量のトラフィックを流入させたり、不正なデータを送りつけ、システムダウンやシステムの異常動作をもたらす攻撃を検知します。具体的には以下にあげる脅威を検知できます。
- DoS攻撃
- SYNフラッド(シンフラッド)攻撃
- バッファオーバーフロー攻撃
DoS攻撃とはWebサイトやサーバーに大量のパケットを送りつけたり、不正なデータを送信して、システムが正常に稼働できない状態にすることです。DoS攻撃はシステムの応答不能、またシステムの停止や異常終了を引き起こします。
SYNフラッド攻撃も大量のトラフィックを発生させ、システムのハングアウトをもたらします。
バッファオーバーフロー攻撃とは、ソフトウェアの脆弱性を突いて、動作異常であるバッファオーバーフローを引き起こすコードを送りつけるものです。
マルウェアによる不正なトラフィック
IDSはバックドア型ウイルス(不正な遠隔操作プログラム)による不審な通信を検知します。バックドアとはシステムに侵入する接続経路のことです。攻撃者は遠隔操作を行う足がかりとしてバックドアを設置し、正規のアクセス経路や認証手続きを経ずにシステムに入り込みます。IDSは攻撃者が遠隔操作で発生させた不正な通信トラフィックを検知できるのです。
バックドア型ウイルスの代表格として、トロイの木馬やボットがあります。なお、バックドアの設置を未然に防ぐことも非常に大事ですが、万一設置されても、IDSがあれば大きな被害にいたる前に対処ができるでしょう。
IDSで検知しにくい脅威
IDSでは「SQLインジェクション」「クロスサイトスクリプティング」のようなWebアプリの脆弱性を突く脅威の検知は難しいです。IDSでサーバーへのトラフィックを監視し、特定のパターン検知により不審なパケットを遮断することはできます。しかし、Webアプリに依存するパラメータの正当性のチェックまではできないためです。
Webアプリの脆弱性を利用した攻撃を防ぐにはWAF(Web Application Firewall)が有効です。
まとめ:
IDSはネットワーク内のトラフィックやふるまいを監視し、各種の脅威を検知します。IDS単独ではネットワークのセキュリティをすべてまかなうことは難しいですが、サーバーのセキュリティ強化の選択肢の一つとして検討することは可能です。