IPS(不正侵入防御システム)を知る[前編]

IPSの実装方法と防御技術とは

小倉 秀敏(おぐら ひでとし)
インターネット セキュリティ システムズ株式会社
営業企画部 テクニカルソリューション課マネージャ
(エグゼクティブ・セキュリティ・エンジニア)
2005/3/16

不正侵入対策としてIPSが注目を集めている。従来のIDSが攻撃を検知するものだったのに対して、IPSは一歩進んで攻撃を防御する。本記事は、IPSとは何か、IPSで何ができるのかという解説をお届けする(編集局)。

 IDS(不正侵入検知システム)の限界

 IPSとは、Intrusion Prevention/Protection Systemの略であり、不正侵入予防/保護システムのことである。IPSが生まれた背景には、IDS【注】の限界が挙げられるだろう。IDSとは、Intrusion Detection Systemの名前のとおり不正侵入「検知」システムであり、検知以上のことは何も行わない。

【注】

「5分で絶対に分かるIDS」を参照のこと
http://www.atmarkit.co.jp/fsecurity/special/19fivemin/fivemin00.html

 しかし市販されているIDSの多くは、検知以上の機能として防御する機能を持っている。だが、IDSとしての防御形式には主に3つしか存在しない。

防御形式 防御対象
TCP Reset応答 TCP上の攻撃
偽応答 ポートスキャンなどの予備調査動作を伴う攻撃
ファイアウォールなどの連携 IPアドレス、ポート単位での遮断
IDSの防御機能

 しかもこれらはいずれも完全であるとはいえない。速度が10Mbpsのネットワークでは十分対応できるだろう。しかし100Mbpsが当たり前、バックボーンはギガビットクラスの通信速度が当たり前の高速なネットワークでは、応答が間に合わず、防御できないのである。

 いずれの防御方法においても、検知した攻撃そのもの、つまり最低1回はIDSをすり抜けてしまう危険性が高い。具体的にいえば、SQL Slammerのようなポートスキャンなどの動作が存在せず、セッションレスで、かつ1パケットで感染可能なワームの場合、いずれの防御方法でも完全に防御することはできない。IDSの防御技術は、ネットワークの速度と攻撃手法の発展についていけなくなっている、といっても過言ではない。

 IPSが生まれた背景には、IDSの技術的限界だけが存在するのではない。IDSが広く利用されるようになった結果、「検知後の対応は人手で行わなければならない」という点が敬遠され始めたのだ。

 IDSは当初セキュリティ・エリートと呼ばれる、一部の先進的な企業だけで利用されていた。そのような企業ではもともとセキュリティ意識が高く、技術だけではなくそれを運用する人的リソースの確保がしっかり行われていた。

 IDSの知名度が上がるにつれ、そのほかの一般的な企業においても利用が増加していった。しかし多くの企業では、IDS技術を導入したがそのための人的リソースを追加投入することはなかった。IDSが発生する大量のアラートに対し、なすすべもなかった彼らは、一斉にIDSへの不満を口にすることになった。「検知するだけで防御してくれない」と……。

 IPS製品の歴史

 初めて製品として市場に送り出されたIPSは、Network ICEの「BlackICE Guard」である(Network ICEはInternet Security Systemsに買収され、その後Guardは販売停止になっている)。2001年にリリースされたGuardはソフトウェア製品であった。ソフトウェアでありながら、パフォーマンス維持のため、DELLとCOMPAQ(現HP)の特定のプラットフォーム上でしかサポートされていなかった。

 続く2002年、OneSecure(NetScreenに買収され、その後NetScreen自体がJuniperに買収された)から「IDP(Intrusion Detection and Prevention)」アプライアンスがリリースされた。それ以降登場する主なIPSは、すべてアプライアンスとなった。その後、市場にはさまざまなIPSが発表され続けている。

 IPSで何が変わったのか

 IPSという呼び名が知られるようになってから日がまだ浅いため、「何がIDSと異なっているのか」という疑問に対して、さまざまな説明がなされている。その一部には明らかに間違っているものさえ存在する。間違いの代表的例が「IPSだからIDSより誤検知が少ない」だ。しかしそれはIPSにするために必要条件であって、IPSを説明するものではない。

 IPSを最も簡単に説明するとすれば、「IDSに防御機能を付加したもの」であるといえる。その防御機能は、IPSをインラインに実装して初めて有効に働くものがほとんどだ。

防御形式 防御対象
パケットドロップ ICMP、UDPなどのセッションレス通信
セッションドロップ TCP
コネクションリセット TCP(実際にはセッションドロップと組み合わせて利用)
IPSの防御機能

 しかしこれは機能の概略を説明したものにすぎず、実現するには多くの技術的な問題を解決しなければならない。ここでは「実装方法」「防御技術」「検知技術」という3つの視点から説明する。

 
1/3


Index
IPSの実装方法と防御技術とは
Page1
IDS(不正侵入検知システム)の限界
IPS製品の歴史
IPSで何が変わったのか
  Page2
IPSの実装方法
 -IPSの実装場所
IPSの防御技術
 -正しく攻撃を排除できない
 -パフォーマンスへの悪影響
  Page3
IPSの検知技術
 -ステートフルなプロトコル分析とは
 -アノーマリ検知
 -ヒューリスティックなビヘイビア検知

コラム:誤検知について

関連リンク
  IPSを実装する場所と考慮すべき点

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間