Tweet

IPS（不正侵入防御システム）を知る［後編］

IPSを実装する場所と考慮すべき点

　IPS（不正侵入防御システム）はIDS（不正侵入検知システム）とは異なり、もはやネットワークの境界部分に設置する装置ではない。LAN内部や閉域網内部、いわゆるイントラネット内に設置されるケースが、インターネット接続点に設置されるケースを上回っている。

　今回はイントラネットに設置されるパターンのうちの主要な2つを挙げて説明しよう。1つはパッチ適用が不可能なサーバの保護、もう1つはネットワーク内での脅威の拡散防止である。いずれも筆者の経験に基づいている。

パッチ適用が不可能なサーバの保護

　パッチ適用が不可能という言葉にはいくつかの状況が含まれている。まずパッチがベンダから提供されないケースがある。現在のWindows NTのように、高価な契約を結ばない限りパッチが提供されないケースや、ベンダ自体が積極的に提供していないケースがある。そのほか、パッチは提供されているが、事実上適用できないケースも存在する。

　サーバや各種機器を保護するための最良の手法は、ベンダからリリースされたセキュリティパッチを適用することだ、といわれている。その半面、セキュリティパッチを適切に適用するには、運用上の問題が大きいこともよく知られている。ここでは3つほど問題を取り上げてみた。

• パッチの評価期間と評価手順の確立は可能か
  パッチ自体の評価期間、環境、（人的コストを含む）費用は十分かどうか。

• パッチ適用後障害が発生したらどうするのか
  アプリケーションとパッチが競合を起こした場合、該当パッチの適用をあきらめなければならない。アプリケーションで問題が発生することを理解したうえでパッチ適用を強行するようなケースを、筆者は知らない。さらにそのような状況下において、ほかに保護するような代替策を取ることができるかどうか、という点が重要だ。

• パッチ適用の際の提供サービスへの影響はどうか
  パッチ適用後、ホストもしくは該当サービスの再起動処理のため、短期間のシステム停止が発生する。この一時的なシステム停止が許容されたとしても、１カ月程度前の告知が必要なことがよくある。また万が一適用に失敗した場合、切り戻し作業などのため、停止期間が長くなる危険性がある。

　このように考えると、セキュリティパッチがシステム運用と相反する性格を持っていることが分かる。このような問題を避けるためにIPSを利用しようとする動きがある。それはIPSを仮想的なパッチとして利用する、というものである（インターネットセキュリティシステムズでは、この仕組みをVirtual Patch^TMと呼んでいる）。パッチ自体がセキュリティ対策の1つの方法にすぎないため、それに代わるより良い方法があれば、そちらを採用したくなるのは極めて自然といえる。

　Virtual Patchとは、図1で示すように、サーバの前にIPSを設置し、脅威の侵入をIPSで取り除いてしまおうという考え方である。これにより、リスクの高いパッチ適用をサーバに対して実施しないような運用にすることが可能となる。

図1 Virtual PatchTMの考え方 (2005、インターネット セキュリティ システムズ株式会社)

　だからといって、多くの管理者がそのままパッチを適用しないでサーバを利用し続けるわけではない。パッチ評価期間を確保できるだけでも、IPSの導入価値があると判断されることがほとんどだ。このような手法によるサーバ保護という考え方は、筆者の経験からいっても徐々に広がりつつある。

　図2はある国内企業でのIPS実装例を簡単に図にしたものだ。この企業では、パッチの適用が実質的に不可能なサーバ群の保護と、ワームの拡大防止のために複数のIPSを導入している。このケースではIPSの設置場所は閉域網の内部であり、インターネット接続点ではない。このような閉域網内部の施策についてはこの後でまた詳しく説明する。

図2　ある国内企業でのIPS実装例 (2005、インターネット セキュリティ システムズ株式会社)

Index
IPSを実装する場所と考慮すべき点
	Page1 パッチ適用が不可能なサーバの保護
	Page2 脆弱性シグネチャという考え方 サーバ保護のために
	Page3 ネットワーク内での脅威の拡散防止 脅威の方向をイメージせよ
	Page4 フェイルセーフという考え方 さらなる考慮点

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード