レイヤーと役割で考えるセキュリティ ~IPS/IDSの運用ポイント・OSI参照モデルなど~
2023.01.26
OSやミドルウェアなどのプラットフォームに対する不正アクセスや攻撃に有効なIPS(Intrusion Prevention System)/IDS(Intrusion Detection System)の特徴をご紹介します。
また、IPS/IDSの具体的なメリット・デメリットや導入に際してのポイントも記載しておりますので、IPS/IDSについて知りたい方だけでなく、導入を検討している方にも参考となる内容となっております。
はじめに
サイバー攻撃の高度化・巧妙化が進む中で、サイバーセキュリティ対策の手法・製品も多様化しています。皆様の中には、効果的なサイバーセキュリティ対策を実施したくても、具体的にどの手法・製品を活用したらよいか分からないと悩んでいる方も多くいらっしゃるのではないでしょうか。
そこで今回は、高度化・巧妙化するサイバー攻撃をレイヤーの観点から切り分け、その中で第3層から第6層に対する攻撃の有効な対策となるIPS/IDSについてご紹介します!
OSI参照モデルとは
OSI参照モデルとは、通信機能ごとに7つの階層に分け、それぞれの役割を分類・明確化するためのモデルです。
低階層がハードウェア寄りの通信となり、高階層がソフトウェア寄りの通信となります。各層の名称と、対応する主なサイバー攻撃は下表の通りです。
| 階層 | OSI参照モデル | 主なサイバー攻撃 |
|---|---|---|
| 第7層 | アプリケーション層 | |
| 第6層 | プレゼンテーション層 | |
| 第5層 | セッション層 | |
| 第4層 | トランスポート層 | |
| 第3層 | ネットワーク層 | |
| 第2層 | データリンク層 | |
| 第1層 | 物理層 |
レイヤーごとに考えるセキュリティ対策
サイバー攻撃への効果的な対策への一歩として、ネットワークのどの箇所がどのように狙われる可能性があるのかを理解することが必要です。前述したOSI参照モデルを把握し、ネットワークを階層として捉えることで、適切なセキュリティ対策を検討する事が可能となります。
本記事のテーマであるIPS/IDSは、OSI参照モデルの第3層から第6層を狙った、ネットワークやOS・ミドルウェアへのサイバー攻撃に有効な対策となります。
幅広いですが、第3層から第6層のプロトコルにはICMP、TCP、UDP、TLS、SMTPなどが含まれ、主にネットワーク・サーバー間の通信に関わる部分となります。
OS脆弱性対策の重要性
基本的なことかもしれませんが、現代では必要不可欠なパソコンなどのデジタルデバイスにはOSがあり、定期的なバージョンアップがあります。バージョンアップのたびに便利な機能追加などがある一方、脆弱性が残されていることも事実です。
OSはデバイスが起動している間ずっと動いているため、その脆弱性対策は非常に大切なことです。
IPS/IDSとは?
それでは、いよいよIPS/IDSについて具体的に解説していきます。
まずIPS(Intrusion Prevention System)とは侵入防御システムと言い、言葉の通り、不正に侵入してきたものに対して検出・遮断するシステムです。
IDS(Intrusion Detection System)は侵入検知システムと言い、不正・異常な通信を検知し通知するシステムです。
また、製品によってIPSのみの機能を有したものやIDSのみ、それぞれの機能を有しているなど様々な製品・サービスがあります。
IPS/IDSの種類
IPS/IDSを提供形態の観点から分類すると以下の3つに大別できます。
保護対象のネットワーク環境や運営方針に合わせてIPS/IDSを選択することが、より効果的なセキュリティ対策に欠かせません。
| 名称 | 特徴 |
|---|---|
| クラウド型 | IPS/IDSサービス提供者より、クラウドサービスとして提供を受ける形態です。専用機器が不要であり、企業のネットワーク構成の変更も不要です。 |
| ホスト型 | 保護対象とするサーバー自体に、ソフトウェアとしてIPS/IDSをインストールする形態です。こちらも専用機器が不要であり、企業のネットワーク構成の変更も不要です。 |
| ネットワーク型 | 各組織のネットワーク内に、専用機器としてIPS/IDSを設置する形態です。専用機器として独立して動作するため、他のサーバーに負荷をかけることがありません。 |
IPS/IDSで検知可能な攻撃① DDoS攻撃
DDoS攻撃とは、攻撃対象とするサーバーやWebサイトに対して、意図的に過剰なデータを送付、もしくはアクセスし負荷をかけるDoS攻撃(Denial of Service attack)を複数のマシンを利用して一斉に行う攻撃です。
IPS/IDSで検知可能な攻撃② SYNフラッド攻撃
SYNフラッド攻撃とは、TCPの特性を利用した攻撃で、通信を開始する際にSYNパケットのみを大量に送り付け、攻撃側は接続確立にはあえて応じず、正規の接続要求にも応じられない状態に追い込む攻撃です。
IPS/IDSで検知可能な攻撃③ IPスプーフィング
IPスプーフィングとは、IP通信において、送信者のIPアドレスを詐称して別のIPアドレスになりすましを行う攻撃です。DDoS攻撃の際に手法として組み込まれることが多いです。
IPS/IDSの監視対象外になる攻撃
IPS/IDSでは、SQLインジェクションやクロスサイトスクリプティングなどのWebアプリケーションに対しての攻撃には対応することができません。
IPS/IDS導入のメリット
続いて、IPS/IDSの導入により得られるメリットについてご説明します。IPS/IDS導入の1番のメリットは、ファイアウォールなどの従来のシステムでは、防げない攻撃も検知・遮断することができる点です。また、検知・遮断はリアルタイムに行われすぐに対処することができ、時には検知のみといった機能の選択も行えます。
また、IPS/IDSはWebアプリケーションへの攻撃には対応していないことから、Webアプリケーション層にも対応しているWAFと組み合わせることでより強固なセキュリティ対策が可能となります。
IPS/IDSのデメリット
デメリットとして挙げられる点は、やはりWebアプリケーションへの攻撃には対応していないことです。昨今はWebアプリケーションの脆弱性をつくサイバー攻撃が増加傾向であるため、WAFとの組み合わせは避けられないでしょう。
また、日々の通信が誤検知か否かの判定・定義・分析といったところで設定をチューニングする必要がある点もデメリットと言えるでしょう。
IPS/IDSの導入・運用のポイント
では、IPS/IDSを実際に導入・運用していく際にどのような点に注意すればよいのでしょうか。それぞれについてポイントを解説します。
導入時のポイント
保護対象のネットワーク環境やWebサーバーの台数に応じて適切な種類のIPS/IDSを選択することがポイントです。ネットワーク構成を変更できない場合は、IPS/IDSをクラウドサービスとして提供を受けるクラウドサービス型やサーバー自体に、ソフトウェアとしてIPS/IDSをインストールするソフトウェア型のIPS/IDSが選択肢となります。
一方、サーバーの台数が多い等、保護対象の規模が大きい場合や、より詳細な検知条件の設定等を行いたい場合は、専用機器としてIPS/IDSを設置するアプライアンス型が選択肢となります。
運用のポイント
IPS/IDSを効果的に活用するために、運用フェーズでのIPS/IDSのアップデートや検出パターンの更新を小まめに実施することがポイントとなります。
また、保護対象の性質によっては、24/365の監視体制が必要な場合もあります。各組織内でこれらの体制・人員を確保することが困難な場合は、比較的運用の負担が少ないクラウドサービス型のIPS/IDSを選択するか、IPS/IDSの運用自体をアウトソーシングすることも検討が必要です。
おわりに
今回は、IPS/IDSの特徴や運用のポイントについてご紹介しました。IPS/IDSの具体的なメリット・デメリットや導入に際して何に気を付けるべきかなどを知っていただき、IPS/IDS導入検討の一助となれば幸いです。
また、今回ご紹介したIPS/IDSの運用に関して、JIG-SAWでは、トレンドマイクロの「Trend Micro Cloud One Workload」をSaaS型とライセンス型の2種類のご利用形態を用意し、ライセンスの調達から導入、初期設定はもちろん、導入後の煩雑な運用も、24時間365日JIG-SAWがワンストップでサポートしております。
ご要望に合わせて最適なご提案をさせて頂く事も可能ですので、 こちらのサイトご参照の上、お気軽にご相談ください。
