IPS とは?その機能と活用シーンについて
IPS とは、不正な通信によるネットワークへの侵入を防止する機能をもったネットワークセキュリティシステムです。正式名称は「Intrusion Prevention System」、日本語では「侵入防止システム」と訳されることが一般的です。
ネットワーク上やホスト上に設置する機器や装置といった形式で提供されます。
先日公開した記事 「IDS とは?その機能と活用シーンについて」 で IDS の概要について説明いたしましたが、今回はこの IDS に非常に近い機能を持つ「IPS」というセキュリティシステムのご紹介をさせていただきます。
IPS の機能とは
IPS はネットワーク上およびシステムを通過するトラフィックを監視し、不正な通信を防止する機能を機能を持ちます。
具体的には、ネットワークパケットの内容を確認することで、存在する疑わしい不正なアクティビティや既知の脅威を検索、情報を収集し、該当する通信を検知した場合にはアクセスを遮断するなどの対策を実施します。
IPS のこの機能は先日ご紹介した IDS とよく似ています。
では、機能のどこに違いがあるのでしょうか。
IPS と IDS の機能の違いは不正な通信を検知した後の動作です。
IDS は不正な通信を検知した後、管理者側にアラートを通知します。
つまり通信を防止、遮断するなどの対策は実施しません。
対して、IPS は防止、遮断等の対応を実施します。
簡単に整理すると以下の通りになります。
機能 | |
---|---|
IDS | 不正な通信を検知し、アラートを送信する |
IPS | 不正な通信を検知し、通信を防止する |
IDS と IPS はその機能が相互補完の関係性にも有り「IDPS」(不正侵入検知防御サービス)と総称されることもあります。
それでは IPS は具体的にどのようなアクションで不正な通信に対処するのでしょうか。
具体的には以下のような動作をします。
検知の動作
- シグネチャ型: 既知の不正な通信パターンや攻撃方法にマッチングするものを対象として検知する。
- アノマリ型: ネットワークパケットやトラフィックを分析し、統計的に異常なパケットを攻撃として検知する。
防止の動作
- 悪意のあるネットワークパケットをドロップ(意図的に遮断)する
- 送信元アドレスからのトラフィック(接続)をブロックする
- ネットワーク接続をリセットする
- 管理者にアラートを送信する(IDS と同様の機能)
さらに重要なことは IPS は検知、防止すべき通信パターンについて、随時設定の変更を行うなどのチューニング(調整)が必要であるということです。
このチューニングが適切にされていない場合、不正な通信を見逃してしまったり、逆の正常な通信を不正な通信として検知してしまう誤検知(False Positive)などの自体が発生します。
そのため、IPS を日々運用する中で通信を記録しているログなどの情報から、不正なアクセスの可能性や傾向を見極め適切なチューニングを施していきます。
IPSの活用シーンについて
IPS はファイヤーウォールでは検知できない不正なアクセスに対して対処が可能です。
そのため、ファイヤーウォールと併用する形で利用されることが一般的です
先述の通り、IDS は侵入を検知し、アラートを送信することが主要な機能です。
そのため、IDS のみでセキュリティの機構を構成することは稀であり、防止機能を持ったセキュリティシステムやセキュリティ製品と組み合わせるか、統合的なセキュリティマネージメントシステムの一部として利用されるパターンが一般的です。
また、先述の IPS (侵入防止システム)は、IDS の侵入検知の基本機能を拡張するために作られています。
IDS 単独で活用するというシーンは現実的に考えづらいのが現状です。
IPS の種類
それでは、IPS にはどのような種類があるのでしょうか?
IPS はホストベースとネットワークベースの 2 つの大きなカテゴリに分類ができます。
これら 2 つのカテゴリは、IPS が設置され、不正な通信を防止する場所ごとに分けられています。
ネットワーク型
ネットワーク型は監視対象となるネットワーク上に設置します。
ネットワークに流れるデータ(パケット)を監視することが可能です。
また、ネットワーク型は直接設置されているネットワークセグメントのみが検知対象となります。
たとえば社内のネットワークやファイアウォールの外側など、監視したいネットワークセグメントが複数あれは、各々のネットワーク上に IPS を設置する必要があります。
ホスト / エンドポイント型
ホスト / エンドポイント型は、監視対象のクライアント PC やサーバーなどに個々にインストールするタイプの IPS です。
そのため、監視対象となるサーバーなどの機器が複数ある場合は、それぞれの機器へインストールする必要があります。
IPS で検知・防御できる攻撃の種類
IPS で検知できる攻撃としてはどのような種類があるのでしょうか。
先述の通り、IPS はネットワークの中身(ネットワークパケット)を確認して、不正な通信かについて検知、不正な通信であると判断した場合には防止などの対処方法をとります。
逆にいうと、送信元の IP アドレスが不正であるかなどの判断は IPS において対象外となります。
ゆえに正常な送信元から不正な内容や大量のデータを送りつけるような攻撃への対処に有効です。
攻撃手法の例を以下でご紹介します。
DDoS 攻撃 / DoS 攻撃
DDoS 攻撃 / DoS 攻撃とは、ネットワークを通じて大量のデータなどを攻撃対象へ送り付けて、対象のシステムが正常に動作できない状態に追い込む攻撃です。
Smurf attack(スマーフ攻撃)
Smurf attack(スマーフ攻撃)は攻撃対象のサーバーに大量の偽パケットを送付することで、ターゲットとなるコンピューターを機能停止に追い込む DoS 攻撃の一種です。
※この攻撃では「ping(ピング)」コマンドで利用する ICMP(Internet Control Message Protocol)プロトコルを利用することで、送信元 IP アドレスを偽装し、特定の標的へ大量にパケットを送りつけます。
Ping of Death(PoD 攻撃)
ping(ピング)コマンドで利用する ICMP(Internet Control Message Protocol)プロトコルをを悪用し、相手方の受信不可能なサイズのデータを送りつける攻撃手法です。
Syn フラッド攻撃
Syn フラッド攻撃とは、ネットワークで相手に接続する際の接続要求データ(SYN パケット)のみを対象へ大量に送り付けることによって、相手が新しい接続を受け付けられないようにする攻撃のことです。
検知回避を狙う SSL を用いた攻撃
SSL(Secure Sockets Layer)/ TLS(Transport Layer Security)による通信暗号化の盲点を悪用し、SSL / TLS を使用して悪意のあるコンテンツを隠し、検出を回避し、侵入します。
IP フラグメンテーション攻撃
IP フラグメンテーション攻撃はデータグラムの断片化メカニズムを悪用してネットワークリソースを圧倒し、TCP / UDP データグラムの再構築方法に関してターゲットシステムを混乱させます。
ポートスキャン
ポートスキャンはサーバーなどのネットワーク機器に対して、接続できるサービスを探り、解放されているポート番号を調べる行為です。
ポートスキャン自体は問題ありませんが、サイバー攻撃において、攻撃者はこれから行おうとしている攻撃のための調査として、ポートスキャンを行います。
そのため、ポートスキャンを検知、防止することはサイバー攻撃への予防とも言えるでしょう。
ARP スプーフィング
ARP スプーフィング攻撃は偽のアドレス解決プロトコル(ARP)メッセージを送信し、そのシステムから攻撃者にトラフィックを転送します。
バッファオーバーフロー攻撃
バッファオーバーフローはシステムがあらかじめ確保しているバッファ領域(メモリ上のデータを格納する領域)に領域以上の大きなサイズのデータを送りつけることでバッファ領域を溢れ(フロー)させ、予期せぬ動作を発生させたりシステムの操作権を奪う攻撃です。
IPS では検知できない攻撃
先述の通り IPS はネットワーク / OS 上かつネットワークパケットが不正なデータを含む攻撃に対する検知が可能です。
そのため、それ以外の攻撃は検知対象外となります。
特に Web アプリケーションレベルの脆弱性を悪用した攻撃は防ぐことはできません。
ファイアウォールはもちろん、WAF(Web Application Firewall)といったセキュリティ対策や、日頃からの脆弱性診断などを併用し、総合的なセキュリティ対策を実施することをおすすめします。
さいごに
IPS に限らずシステムのすべてのセキュリティを単一のセキュリティ製品などで賄うことは現在の多様化したサイバー攻撃に対しては現実的ではありません。
ファイヤーウォール、SAST、DAST、IAST、SCA などさまざまな製品が存在するなか、脆弱性や不具合などさまざまな箇所がサイバー攻撃の原因になりえます。
多様化するサイバーセキュリティに対してはぜひ横断的かつ総合的な対策を検討することをオススメいたします。