 |
IPS(不正侵入防御システム)を知る[後編]
IPSを実装する場所と考慮すべき点
小倉 秀敏(おぐら ひでとし)インターネット セキュリティ システムズ株式会社
エグゼクティブ・セキュリティ・エンジニア
営業企画部 テクニカルソリューション課マネージャ
2005/5/20
 |
フェイルセーフという考え方 |
先に挙げたネットワークモデルにおいて、ゲートウェイ型のセキュリティ対策にだけ頼っている限り、解消できる脅威の方向は「外部から」しかない。そのほかの方向から来る脅威にはさらされたままなのだ。そしていままさにこれらの脅威が具現化してもその被害を最小限にとどめるためにIPSが利用され始めている。
脅威の拡大防止対策を実施するためには、フェイルセーフという考え方を受け入れる必要がある。フェイルセーフとは、たとえ問題が発生しても最悪の事象に至る前に封じ込める考え方だ。セキュリティ対策を実施する場合、とかくフェイルフリー、つまり問題発生自体を完全になくすことを考えがちだ。フェイルフリーを実施するためには、すべての可能性を取り上げて対策を立てることが必要だ。
しかし社員が仕事で持ち出したノートPC経由でワームが社内に侵入することを想定していた組織はほとんどなかった。残念ながら、人間は経験したことを基準にして想像をめぐらすことしかできないため、遭遇したことのない状況を想定できないのだ。つまりフェイルフリー自体がすでに破たんしている考え方なのだ。また既知の問題に対してだけでもフェイルフリーにしようとしても、大きなコストが掛かることが多い。費用の面から容認できないケースがある。
IPSはまさにフェイルセーフ的な考え方で、ネットワーク内部、いわゆるイントラネットに設置されるケースが増えてきている。考え方は2つ。重要拠点またはセグメントの保護と被害発生拠点またはセグメントからの脅威の拡大防止だ。
保護の考え方は分かりやすい。IDSやファイアウォールと同じゲートウェイ型保護戦略をLANや閉域網内部に展開したもの、といえる。それに対して拡大防止の考え方はなじみが少ない。これはまさにフェイルセーフの考え方になる。つまり、万が一ワームなどの脅威が発生してしまった場合、その脅威がほかの拠点もしくはセグメントに拡大することを防ぐためにIPSを配置する。
 |
| 図6
被害拡大防止のためのIPS (2005、インターネット セキュリティ システムズ株式会社) |
企業内において最先端の技術に触れている部門がワームなどを社内に呼び込んでしまったケースを、筆者はいくつか知っている。その多くは研究開発部門であり、さまざまな手法により情報の収集、交換を行っている業務自体が脅威を呼び込む可能性を生み出してしまっているようだ。こういった拠点の場合、脅威は封じ込めつつ、正常な通信は許可されなければならない。IPSがまさに有効となる。
脅威の拡大防止にもVirtual Patchと脆弱性シグネチャの考え方は有効だ。範囲を拠点全体にすることで、脆弱点を考慮しなければならない対象がサーバだけではなくクライアントにまで広げられただけだ。
|
さらなる考慮点 |
今回は、IPSを実装する2つの考え方に触れた。今後IPSは、いわゆるイントラネットに展開されていくことだろう。さまざまなスイッチベンダが、IPS機能付きスイッチをリリースし始めていることも、その根拠となるかもしれない。
しかし実際にイントラネットにIPSを設置する際には、IPS本来の機能に加え、IPSとネットワークの親和性といった点からも十分検討しなければならない。筆者の経験からいえば、そのポイントとは以下の4つだ。
●過剰防御
ゲートウェイ型保護の場合、セキュリティ上の観点から「疑わしい通信はすべて遮断」というアプローチで十分だが、イントラネット内部に配置する場合、その考え方では業務の可用性に悪影響を与えてしまう。
これも筆者の経験談だが、イントラネットでは、攻撃文字列と区別がつかないような通信を行うWebアプリケーションが利用されていることも少なくない。本来の攻撃防御に加え、そのような通信を遮断してしまわないようなチューニングが可能かどうか、確認する必要がある。
●過負荷時の挙動
IPSはその性格上、非常に多くのセッションやトラフィックを処理できるようになっているが、性能にはやはり限界がある。その限界値に達したときの動作について、十分確認する必要がある。ゲートウェイ型保護のアプローチであれば、そのような場合、全パケットをドロップし、少しでも攻撃が入り込む余地をなくす、というアプローチが正しい。
しかしイントラネットの場合は事情が異なる。業務の可用性を第一に考える場合、限界値に達した場合はパケットをそのまま転送した方が望ましい。そのような設定が可能であるかどうか、確認しなければならない。
●障害時の経路確保
通信はIPS内部を通過するため、IPS障害時に経路が全断してしまうようでは、イントラネットに設置することはできない。多くのIPSがフェイルオープンという、機器障害時に自分自身を迂回(うかい)させるような機構を持っている。しかしこの迂回機構が働く瞬間、一瞬ではあるがIPSのリンクが失われることがある。IPSを挟んで設置されているスイッチやファイアウォールにどのような影響が出るのか、実装前に詳しく検証し、場合によってはSTP(スパニングツリープロトコル:L2レベルでの経路冗長化など)などの利用を検討する必要がある。
●IPS機器の管理
イントラネットに設置したIPSは通信経路の一部であるため、スイッチなどと同様の管理をしたくなる。SNMPなどの管理機構が存在するかどうか重要なポイントだ。
◆ ◇ ◆
本稿がIPSを正しく理解するための一助となれば幸いだ。本稿では説明できなかったが、筆者もビックリするような利用方法を顧客側から提案されたこともある。IPSの利用方法は、すでにIDSのそれをすでに凌駕していると筆者は信じている。IPSをどのように利用するのが一番よいのか、読者自身で判断してほしい。
 |
4/4 |
| Index | |
| IPSを実装する場所と考慮すべき点 | |
| Page1 パッチ適用が不可能なサーバの保護 |
|
| Page2 脆弱性シグネチャという考え方 サーバ保護のために |
|
| Page3 ネットワーク内での脅威の拡散防止 脅威の方向をイメージせよ |
|
 |
Page4 フェイルセーフという考え方 さらなる考慮点 |
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| Profile | |
 |
小倉 秀敏(おぐら ひでとし) インターネット セキュリティ システムズ株式会社 営業企画部 テクニカルソリューション課マネージャ (エグゼクティブ・セキュリティ・エンジニア) インターネット セキュリティ システムズ(ISS)におけるプリセールス、システムエンジニアリング(SE)責任者の立場から、IDS/IPSにおける設計、構築、実装、運用フェーズに深い造詣と経験を持つ(大規模案件については、プロジェクト・マネージャとしても対応)。 同時に、ISSの基本設計思想、技術思想を啓蒙するevangelist(エグゼクティブ・セキュリティ・エンジニア)としての講演や執筆、取材活動も精力的に行っている。 また、ISSのグローバル研究開発機関「X-Force」と連携を持つエグゼクティブ・セキュリティ・エンジニアとして、Emergency Response Serviceの立案および実施も担当している。 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
