インターネットが生活に不可欠となりました。オンラインショッピンやオンライン決済が浸透した昨今は、全てがオンラインで完結する便利な時代です。

一方で、Webなどのセキュリティは、今後ますます安全にインターネットや情報などを守るために必要不可欠になっています。特に企業のシステムや企業情報、個人情報などはセキュリティが欠かせません。

IDSとIPSは、そういったリスクから情報などを守る役割を果たします。ここでは、IDSとIPSの違い、不正侵入検知や防御などのセキュリティ対策について紹介していきます。


IDSとは

IDSは、Intrusion Detection Systemの頭文字をとってIDSになります。日本語名は、不正侵入検知システムといいます。

ネットワークへ不正侵入がないかを常に監視し、不正侵入を感知したら、管理者へ通知するシステムです。


IDSの種類

IDSは、「ネットワーク型」と「ホスト型」の2種類に分かれます。


ネットワーク型

ネットワーク型は、名前から解釈する通り、ネットワーク上にIDSを配置して、ネットワーク通信を監視します。

ネットワーク型は、接続しているネットワークに注力して監視をします。そのため、監視対象となるネットワークが複数存在する場合は、それぞれに配置しなければなりません。


ホスト型

ホスト型は、保護したいサーバーへインストールします。

保護対象が多岐に渡る場合、一つのサーバーにインストールし、統括して監視できるのではなく、それぞれのサーバーへ個別でインストールして使います。


IDSの検知方法

IDSが異常なアクセスを認識する方法は、2パターンあります。それが「シグネチャ型」と「アノマリ型」です。


シグネチャ型

まず、シグネチャ型は、疑わしいもしくは異常・不正なアクセスパターンをあらかじめ登録します。

登録している疑わしいもしくは異常なアクセスパターンと検知したアクセスパターンが一致したら不正と判断します。

イメージするなら、万引き客をブラックリストに登録して、今後のお店に入店の際は警戒し、再犯防止に努めることと同じです。


アノマリ型

アノマリ型は、あらかじめアクセスパターンを登録します。そのため登録されていなアクセスパターンを感知したら異常と判断して、管理者へ通知します。

こちらもイメージするならあらかじめ登録している会員は入店することができるけど、会員登録のない人は入店することができないことと同じです。


シグネチャ型・アノマリ型のメリットとデメリット

シグネチャ型とアノマリ型のメリットとデメリットについて紹介します。


シグネチャ型のメリットとデメリット

シグネチャ型は、あらかじめ登録した異常な不正侵入パターンを検知するため、誤検知が少なく精度が高いため、これはメリットになります。

しかし、あくまでもあらかじめ登録している異常な不正侵入パターンに対してのみ作動するため、登録されていない不正侵入パターンには作動しません。これはデメリットになります。


アノマリ型のメリットとデメリット

アノマリ型は、正常なアクセスパターンを登録して、登録されたアクセスパターンのみ通過することができます。

言い換えると、未知の異常なアクセスや攻撃をある程度検知することができます。これがアノマリ型のメリットになります。

しかし、シグネチャ型と異常アクセスに対しての検知精度を比べてみるとアノマリ型は、検知ミスが多く、精度が低いため、ここがデメリットになります。


IPSとは

IPSは、不正侵入防止システムの英語名Intrusion Prevention Systemの頭文字をとってIPSになります。IPSは、IDS同様に不正侵入に対して管理者へ通知すると同時に不正侵入に対して即座に防御します。

IPSは、IDSのように管理者へ異常を通知し、管理者が通知を受け取ることで異常に気づき対処するのではなく、不正を感知して即座にブロックします。

IDSは、異常を監視して通知していたのに対して、IPSは、異常を感知したら通知をするだけでなく、通信をブロックするので根本的な構成が異なります。


IPSの種類

IPSの種類は、IDSと同じく「ネットワーク型」と「ホスト型」の2パターンで、特徴は、IDSと同じになります。


IPSの検知方法

IPSの検知方法もIDS同様に2パターンあります。「シグネチャ型」と「アノマリ型」は、機能や特徴などIDSの検知方法と変わりありません。


ファイアウォールの役割と機能

ファイアウォールは、IDSやIPSと同じように異常な通信を遮るのが役割になります。

異常なアクセスを感知したら、IDSと同じくファイアウォール異常を感知したら管理者へ通知します。また、ファイアウォールは、IPSと同じように異常通信をシャットアウトします。


IDS/IPSとの違い

それぞれの機能が、IDS/IPSとファイアウォールとも同じ役割にみえます。

異常なアクセスや不正侵入に対して防御するコンセプトは同じです。実は特徴に違うところがあります。

ファイアウォールは、IPアドレスなどのアクセス先をチェックして、異常なアクセスを未然に防御します。

一方で、IDSやIPSは、異常なアクセス自体を監視して不正アクセスから防御することが役割になります。同じセキュリティの役割を果たしていますが、カバーするエリアが異なります。

イメージするなら郵便番号で仕分けするのがファイアウォールの役割であり、実際の住所を見て仕分けるのがIDS/IPSの役割になります。


IDS/IPSの有効性

基本的にIDS/IPSが用いられる場面は、ネットワークやサーバー、システムの脆弱性をターゲットにしたサイバーアタックを防御することです。

サーバーに負荷を与えるサイバーアタックやワームなどに効果的です。

IDSは、不正アクセスを管理者に通知し、防御するきっかけを知らせてくれます。IPSは、異常と判断した際に管理者へ通知するだけでなく、すぐに不正侵入をシャットアウトすることができます。


DoS攻撃やDDoS攻撃への有効性

DoS攻撃は、ネットワークを介して大量のデータなどを送りつけて、攻撃対象のシステムの正常な動作を破壊する攻撃です。DoS攻撃は、Denial Of Serviceの略称です。

DoS攻撃の代表例は、メールボムと呼ばれる攻撃です。大量のメールを攻撃対象に送ることでメールサーバーにストレスをかけてサーバーをダウンさせます。

DoS攻撃に似たサイバー攻撃が、DDoS(Distributed Denial Of Service)攻撃です。

DoS攻撃が一カ所からの集中攻撃を加えて、サーバーに大きなストレスを加えることに対して、DDoS攻撃は、一カ所ではなく、不特定多数からターゲットを攻撃してサーバーに大きな負荷を与えます。

DDoS攻撃の代表例は、Webサイトへ複数のパソコンからアクセスをかけ、サーバーダウンさせ、サイトにアクセスできなくさせることです。

近年、新たなDDoS攻撃の手口としてインターネットルーターなどのIoT機器を乗っ取り、不特定多数のパソコンに侵入し、攻撃対象を攻撃する事例が報告されています。

IDSやIPSが防御できる典型的な攻撃パターンがDoS攻撃やDDoS攻撃になります。これらの攻撃は、ネットワークやサーバーに対しての攻撃のため、ファイアウォールだけでは防ぐことができません。


Synフラッド攻撃への有効性

IDSやIPSで防御できるサイバー攻撃は、Synフラッド攻撃です。

Synフラッド攻撃は、攻撃の標的がネットワークへ接続する時の接続要求データへ攻撃を仕掛け、攻撃対象が上手くネットワークに接続できないようにする攻撃です。

Dos攻撃やSynフラッド攻撃は、IPアドレスの観点から監視したとしても異常が検知されませんのでファイアウォールは、これらの攻撃を防御することができず、すり抜けられてしまいます。

IDSやIPSは、IPアドレスではなく、パケットの中身をチェックして、異常と判断するため、異常検知や攻撃を防御することができます。


ワーム攻撃への有効性

ワームは、単体です。しかし、ワームは、増殖することができます。コンピューターウイルスと違い、ワームは、決まったターゲットがあるわけではありません。

ネットワークに侵入して、そこから次々と増殖します。増殖することでPCリソースを徐々に占拠し、負荷をかけ、処理能力にダメージを与えます。

加えて、PCリソースを占拠してからPC内のファイルを勝手に削除、SNSなどを通じて、別のPCを感染させ侵入することができます。

対ワームには、IPSの防御が特に有効です。ワームの特徴をIPSは検知することができますし、検知して管理者に知らせるだけでなく、ワームをシャットアウトすることができます。


IDS/IPSが防御できない攻撃

IDSとIPSが攻撃をすべて防御ができればいいのですが、そういうわけではありません。IDSとIPSの機能が有効に働く攻撃と防御できない攻撃があります。

特にWebアプリケーションに対しての攻撃、SQLインジェクションなどは、IDS/IPSだけでは対応できません。

サイバー攻撃で代表的なIDS/IPSの不正侵入検知網をすり抜けてしまう種類について、Webアプリケーションに対しての攻撃、クロスサイトスクリプティングやSQLインジェクションがあります。

具体的になぜIDS/IPSが検知しないかまとめました。


Webアプリケーションに対する攻撃

Webアプリケーションは、インターネットを介してユーザーが利用することができるアプリケーションソフトウェアになります。

Gmailなどのオンラインメールやブログサービスなどが、Webアプリケーションに該当します。このWebアプリケーションを狙った攻撃が近年増加しています。


クロスサイトスクリプティング

クロスサイトスクリプティングは、ユーザーがWeb上で書き込むアンケートの入力フォームやブログなどの掲示板のアプリケーションの脆弱性につけ込んで攻撃を仕掛けます。

Webサイトなどに悪意のあるスクリプトなどを埋め込み、ユーザーが知らない間に個人情報などを取り込んでしまいます。

過去の事例でTwitterやYouTubeなどの有名サイトがクロスサイトスクリプティングの脆弱性を攻撃されたことで、クロスサイトスクリプティングの知名度が上がりました。


SQLインジェクション攻撃

SQLは、データベースから情報を求められた際に使われる言語です。

SQLインジェクション攻撃は、Webアプリケーションのセキュリティの脆弱性を意図的に悪用して、データベースを削除や改ざんなどの不正操作することです。

過去の実際にあった事例としては、ECサイトがSQLインジェクション攻撃を受けて、クレジットカードなどの顧客情報が漏洩したケースがあります。


WAFはWebアプリケーションへの攻撃に有効

WAF(ワフ)は、Web Application Firewallの略で、Webアプリケーション保護に特化したファイアウォールになります。

WAFは、守備範囲がWebアプリケーションに特化しているため、精度の高い検出が必要とされるWebアプリケーションを対象とした攻撃に対して有効に働きます。

セキュリティの比較対象でよくIDS/IPSがあがりますが、IDS/IPSは、守備範囲がサーバーやネットワークと広範囲にわたっているのに対して、WAFはWebアプリケーションに限定しています。

セキュリティの向上を図るなら併用がベストです。


IDS/IPS/WAFを組み合わせてセキュリティ強化

IDS/IPSは、ネットワークやサーバーに対して守備範囲の広いセキュリティ網を引くことができますが、Webアプリケーションなどのネットワークやサーバー以外からのサイバー攻撃に対しては、弱点があります。

そのため、Webアプリケーションを介してのサイバー攻撃に有効なWAFを併用することでネットワークやサーバーだけでなく、Webアプリケーションからのサイバー攻撃を防御することができます。

先に紹介したIDS/IPSが防御できないWebアプリケーションに対する攻撃、クロスサイトスクリプティングやSQLインジェクション攻撃などを防御することが可能になります。


UTM・次世代ファイアウォール

IDS/IPSやWAFと同じようにここ最近注目されているセキュリティが、UTMや次世代ファイアウォールです。

UTM((Unified Threat Management)は、総合的に様々な攻撃に対して防御ができるセキュリティ機能をハードウェアに統括し、総合的にリスク管理ができます。

次世代ファイアウォールは、従来のファイアウォールのようにIPアドレスやポート番号で識別するのではなく、アプリケーションを識別してアクセスの制御を管理できます。

サイバー攻撃が多様な形へ進化していくため、IDS/IPSで対抗できない攻撃には、WAFやUTM、次世代ファイアウォールと組み合わせることでセキュリティをより強化し、様々な脅威から防御が可能になります。


まとめ

IDS/IPSは、ネットワークやサーバーのセキュリティにはとても有効です。しっかりと仕組みと違いを理解することで有効的な利用が可能です。

しかし、IDS/IPSだけでは、全てのサイバー攻撃に対して対応できるわけではありません。

社内システムや顧客情報などをしっかりとセキュリティ保護するためには、IDS/IPSの役割を理解した上で、IDS/IPSとWAF、UTMや次世代ファイアウォールなどを組み合せて様々なサイバー攻撃に備える必要があります。