[ Top page ]

« ファイアウォール | メイン | 統合脅威管理 (UTM) »

セキュリティ, トラフィック計測・監視

不正侵入の検知と防御 (IDS/IPS)

侵入検知システム(Intrusion Detection System, IDS) とは,コンピュータ・ネットワークにおいて特定のネットワークおよびコンピュータへの不正な侵入の兆候を検知し,ネットワーク管理者に通報する機能を持つソフトウェアまたはハードウェアのことをいう. また,侵入防止システム (Intrusion Prevention System または Intrusion Protection System,IPS) とは,このような不正な侵入を防御するシステムのことをいう.

侵入検知システム (IDS)

IDS の必要性と機能

コンピュータ・ネットワークは,一部の業務系システムのように閉鎖された LAN のようなのちいさなネットワークだけで稼動するだけでなく,通常はインターネットのような外部のネットワークと接続されている. 外部のネットワークと接続することは,不正アクセスととなりあわせになることを意味する. このため,外部との接続経路にはファイアウォールやプロキシ・サーバ等を配して一元化し,その上で通信を管理・制御することで,不正アクセスや侵入の企てを防護する措置をとる必要がある.

しかしながら,それらの防護措置をとっても必ずしも,なりすましなどによる侵入をすべて防ぐことができるわけではない. また,防護の網をかいくぐって侵入してきた不正なアクセスによって,データの改竄やシステムの破壊,更にはデータ窃盗などを受ける懸念をぬぐいさることはできない. このような侵入に対処するため,IDS を用いて不正なアクセスの兆候を検知し,管理者へ通知する. IDS の存在によって,管理者は実際の被害にさきだって警戒することができ,必要なら回線切断等の防衛策を講じ,システムの破壊などを未然に防止することができる.

IDS が自動的な通信切断やサーバのシャットダウンなどの防衛を実行せず,あくまで管理者にメール (大抵は速攻性を重視するために,携帯電話へのメール) を送信して異常を通知するだけなのは,検知した異常が攻撃であるとは限らないからである.

ファイアウォールは,通常,トランスポート層までの情報までをあつかうが,IDS はパケットに含まれる全データを確認することができる. ただし,近年のファイアウォール製品のなかには IDS や侵入防止システム (IPS) に近い機能をもつ製品も少なくない. これらのシステムは常に通信の量や種類をチェックし,通常業務ではありえない通信種別の偏りや,急激な通信量の増大,更には特定の通信相手以外との接続をチェックする.

通常,不正アクセスを企てる者は,様々な攻撃手法をもちいて対象の脆弱性を探り,内部情報へのアクセス権や管理権限を手に入れようとする. しかし,これらの手法は一般化されており,大抵が 「ある種の類似性」 をもっているため,これを攻撃の予備段階として検知することができる.

IDS の種類

IDS には正常時との比較によって異常を検知するものと,予測される攻撃のパターンをあらかじめ持っていてそのパターンに合致する現象が起きた際に通報をおこなうものがある. 後者の方がより普及している. また,ネットワーク型 IDS (NIDS) とホスト型 IDS (HIDS) といった分類をすることもある.

ネットワーク型 IDS (NIDS)
NIDS はコンピュータ・ネットワークの通信内容を積極的に検査し,ネットワークへの攻撃などという,不正アクセスの疑いがあるとかんがえられるものについては,ただちにネットワークの管理者へ攻撃の事実を通知する.
ホスト型 IDS (HIDS)
HIDS はサーバにソフトウェアとして組み込まれ,対象のサーバに異常が発生していないかを監視する. 異常が確認された際には NIDS と同様に通知を行う.

侵入防止システム (IPS)

IDS の発展型として,侵入防止システム (IPS: Intrusion Protection System)がある. IPS は,異常を通知するだけでなく,通信遮断などのネットワーク防御を自動で行う機能を持つ.

現在は,ファイアウォールと連動して異常な通信を行う対象を自動的に遮断する,異常検知ルールの自動生成や改竄検出など,より能動的な防衛機能を搭載する研究が行われている.

ただし,原理原則としてネットワークはそこであつかう通信内容について一切斟酌しないべきものであるとして,こうした積極的な通知や防衛策を取る IDS や IPS のような仕組みに対して批判的な意見もある.

IPS の種類

IPS にはおもにネットワーク型とホスト型という 2 種類がある.

ネットワーク型 IPS
専用のアプライアンスという形で提供され,ネットワークの境界に設置する. コンピュータ・ウイルスや DoS 攻撃 (サービス妨害攻撃) などのパターンがあらかじめ記憶されており,侵入検知時には,通信の遮断などの防御をリアルタイムに行ない,管理者への通知やログ記録の機能を持つ.
ホスト型 IPS
ソフトウェアの形で提供され,サーバにインストールする. 不正アクセスの OS レベルでの阻止や,アクセスログの改竄防止,サーバの自動シャットダウンなどの機能を持つ. 基本的には,管理者権限を乗っ取ろうとするアクセスに対して防御する.

IPS の機能

IDS はコンピュータ・ネットワークの通信において不正アクセスを検知しても,あくまで通知するのみである. また,コンピュータ・ネットワークに流れる通信内容を一旦コピーしてから解析を行うため,最初の侵入は防ぐことが出来ず,新手の攻撃や亜種の攻撃に対して弱いという一面を持っている. このため,こうした受身的発想の IDS を発展させ,不正アクセスに対して自動的に通信断やサーバのシャットダウンを行うといった能動的発想で構築されているのが IPS である.

このため,IDS においては管理者は事前に不正アクセスのパターンを予測して運用する必要があったが,IPS においては,管理者はアラートやログを確認してからでも充分に対応できるようになっている.

最近では Winny などの P2P アプリケーションを検知,防御できる IPS も登場している.

より具体的な IPS の機能として,つぎのようなものがある.

ステートフル・パケット・インスペクション (Stateful Packet Inspection,SPI) 機能
ステートフル・パケット・インスペクションは動的なパケット・フィルタリングの一種である. 3 層の IP パケットが,どの 4 層 (TCP/UDP) セッションに属するものであるか判断して,正当な手順の TCP/UDP セッションによるものとは判断できないような不正なパケットを廃棄する. そのため,TCP/UDP セッションの一部情報を記憶して判断動作する. 具体例として,TCP ヘッダの SYN や ACK フラグのハンドシェイクの状態などを記憶し,不正に送られてきた SYN/ACK パケットを廃棄する.
ステルス機能
装置で使用していない TCP/UDP ポートに対してアクセスされたときに,TCP RST / ICMP Port Unreachable をかえさないことにより,攻撃者に装置の存在を検知されないようにする機能である.

参考文献

この項目の記述にあたっては Wikipedia侵入検知システム侵入防止システム の項目を参照した.

Keywords:

コメントを投稿

Powered by
Movable Type 3.36