IDS(侵入検知)/IPS(侵入防御)の違い知っていますか?正しく理解してセキュリティ運用に活用できるコツをご紹介!!

はじめに

セキュリティ対策として利用されることの多いIDSIPS。ファイアウォールやWAFと併用されることが多く、いまひとつ目立たないセキュリティ製品かもしれません。しかしながら、古くからインターネットのセキュリティを支え、今もなお活用されているIDSIPS。本ブログではその違いと特徴、そして運用のコツについてご紹介したいと思います。

 

IDS/IPSとは何か?

IDSとは、Intrusion Detection Systemの略です。不正な通信を検知するシステムです。

それに対しIPSとは、Intrusion Prevention Systemの略です。不正な通信を検知・防御するシステムです。

IPSは検知だけでなく、防御・遮断する点がIDSとの決定的な違いです。

 

ファイアウォールとの違い

ファイアウォールはIPアドレスやサービスポートに対して、通信の許可/拒否判断をルールベースで行います。そして許可ルールに該当すれば通信を通過させ、拒否ルールに該当すれば遮断します。

それに対しIDS/IPSはIPアドレスやサービスポートに対して許可された通信の中から、不正な通信を検出・防御するという違いがあります。

 

WAFとの違い

IDS/IPSでもHTTPプロトコルやWebコンテンツの検査は可能です。しかしながら2000年代後半以降、Webサイトの脆弱性を狙った攻撃が増え始めた頃、Webサイトへの攻撃をファイアウォール、IDS/IPSだけでは防ぐことはできず、Webサイトのセキュリティ対策に特化したWAFが注目されるようになりました。

 

WAFはWebアプリケーションの脆弱性をついた攻撃の防御に特化してます。IDS/IPSと比べると柔軟なカスタマイズが可能であり、また検出精度が優れています。また、OWASP(Open Web Application Security Project)のような団体の活動によりWebアプリケーションのセキュリティ分野の研究やガイドライン作成、脆弱性診断ツールの開発等が進んだこともWAFというセキュリティアプライアンスカテゴリの確立に寄与したと言えるでしょう。

WAFについては本ブログで紹介しています。是非参考にしていただければと思います。

参考:WAF導入ポイントをご紹介!

参考:WAFの機能を有効に使うための運用のコツをご紹介!

ここまで、ファイアウォール、WAF、IDS/IPSの違いについてご紹介しました。以下の図に関係性をまとめました。厳密に守備範囲は仕切られているものではありません。IDS/IPSでも検知、遮断が可能ですが、それぞれのアプライアンスに特化したレイヤーがあることにご留意ください。

図:ファイアウォール、IDS/IPS、WAFの関係性

 

ネットワーク型、ホスト型の違い

IDS/IPSには設置場所によって2つの型があります。

 

ネットワーク型(NIDS/NIPS)

ネットワーク型は、ネットワークの経路上に設置されるIDS/IPSです。NetworkのNをとってNIDS/NIPSと表記されることがあります。監視対象ネットワークの境界や DMZ など、すべてのパケットが通過するネットワークの出入口、ブロードキャストドメイン範囲内に設置することで効果的に活用できます。

 

ホスト型(HIDS/HIPS)

ホスト型は、サーバー内部にインストールされるIDS/IPSです。サーバ内部の各種ログファイル、ファイル情報、サーバーのイベントを監視します。こちらもHostのHをとってHIDS/HIPSと表記されることがあります。サーバー内部で不審な挙動や不正な変更を検知・防御、製品によっては復元することが可能です。

参考までとなりますが、NIDS/NIPSはSnort、HIDS/HIPSはTripwire が有名なオープンソースソフトウェアです。1990年代後半から開発されて以降、現在に至るまでインターネットセキュリティを支えてきた優秀なソフトウェアです。

参考:Snortサイト

参考:Tripwireジャパンサイト

 

シグネチャ、アノマリ型の違い

IDS/IPSが不正通信を検知する仕組みには2つの方法があります。

 

シグネチャ型

シグネチャとは攻撃を識別するためのパターンやルールです。シグネチャと一致した通信を不正通信とみなし検知します。多くのIDS/IPSで採用されていますが、既知のパターンやルールしか検知することができません。そのため検出精度は、シグネチャの更新頻度に依存します。

 

アノマリ型

アノマリとは英語で「anomaly」を意味し、「普通ではない」ふるまいを検出します。例えばログイン時刻や回数、時間帯によるトラフィック多い、少ない、実行されるイベントなどの条件に対して、通常動作の基準を学習しながら、未知の脅威にも対応する事が可能です。しかしながらアノマリ型は誤検知に対するチューニングが適宜必要となります。

 

このようにそれぞれの検出方法の特徴を考慮すると、運用においてはシグネチャ型とアノマリ型を組み合わせて利用することでIDS/IPSをより効果的に活用できると言えるでしょう。

 

なぜ、「検知」と「防御・遮断」を分けるのか?

ここまでIDS/IPSと他セキュリティア製品との相違点、設置の型、検知手法を紹介しました。IDS/IPSは共に語られることが多いセキュリティ製品であり、IDS/IPSは概念上、非常に類似しています。IDS/IPSを別システムで考えるより、同一システム上の異なる動作モードとして運用設計した方がシンプルです。

 

では何故わざわざ別々に命名しシステムを分類して考えているのでしょうか?

 

まず置き場所、検出方法によって全く性質の異なる製品になるという点です。そしてIPSが「防御・遮断」する特性上、正しい通信を止めてしまう。もしくは不正な通信を通してしまう。といった運用上の誤検知を考慮する必要があるためと考えられます。

またIDSについても、多くの警告の中から、不正な改ざんを見つける。などといった適切な対策を行なうための通知フローを考慮する必要があります。

このように設置する場所、検知手法、通知手法によって運用のアプローチを考慮する必要があり、適切に運用できない場合、通常のサービスへマイナスの影響を与えてしまう可能性があるので注意が必要です。

 

 

IDS/IPS運用のコツ

ではIDS/IPSの適切な配置場所を考えてみたいと思います。これは利用者の目的や環境により要件は様々です。特性を考慮した一例として参考になれば幸いでございます。

 

ネットワーク型はIPSでネットワーク境界の保護に活用!

一般的な企業オフィスではインターネットの接続点にルータやファイアウォールを設置するケースが殆どではないでしょうか。また最近の事例では少なくなりましたがDMZというWANとLANの間に置かれるサブネットワークにメールサーバ、Webサーバ、DNSサーバ、認証サーバなど、外部に対しサービス公開、連携するサーバを設置するケースもあります。

このようなネットワークを境界とする環境に対しァイアウォールと組み合わせたネットワーク型IPSの設置を推奨します。前述した通り基本的なアクセス制御はルールベースでファイアウォールが行います。そこで許可された通信の検査を同じ接続点で同時にIPSが実施できるため大変効率的です。またネットワーク間をルーティングされた通信も即座に検査されるので、入口・出口対策としても効果的です。

ネットワーク型IPSはファイアウォールの機能や統合的にセキュリティ機能を実装しているUTM(Unified Threat Management)装置の導入を検討するの良いでしょう。

この導入方法におけるチューニングアプローチですが、多くの製品が標準で提供しているデフォルトルールセットを利用し、フォルスポジティブ(正しい通信を遮断してしまう)が発生した場合に、該当ルールを除外していく「ホワイトリスト方式」での運用が良いと考えます。

 

ホスト型はIDSで重点保護に活用!

ホスト型のIDS/IPSは主にサーバー向けと言えるでしょう。特に不正な改ざんを防ぎたいWebサーバーや、機密情報等の重要情報を取り扱うデータベースサーバーや認証サーバーなどです。サーバーのあらゆるイベントは内部で実行処理されるため、ネットワーク上を流れる通信では判断できません。

検出方法も遮断、復元などのprevention機能は、サーバーが提供するコンテンツや情報に大きな影響をあたえる可能性があるので慎重に検討するべきです。また重要度の高いサーバであれば、シグネチャ型に加え、アノマリ型のように未知の攻撃に対応できる機能を選定しても良いでしょう。

管理上考慮しなくてはいけない点として、このような重要サーバーはエアギャップ(閉域)ネットワークに設置されることも多いため、その場合シグネチャの配布方法についても検討が必要です。

また管理者が IDS の警報をすべて確認し、対応するのは現実的ではない場合があります。しかしフォレンジックの観点から記録は必要となるため、どのような状況で、何を警報として通知するか、などといった管理面においてもチューニング作業が必要となります。

 

エンドポイント向けのIDS/IPS製品も

最近では一般クライアントデバイス向けのエンドポイント製品に、IDS/IPSが組み込まれているケースが多く、その殆どがシグネチャ型IPSです。中には未知の攻撃にも対応できる高度なエンドポイントも出ています。

これは、近年、場所とデバイスを問わず、様々なデータにアクセスできる環境が整備され、従来の境界線防御ではなく、クライアントデバイスのセキュリティを強化する動きが背景としてあると考えます。

 

 

最後に


ここまでIDS/IPSについて、違いと特徴、そして運用のコツについてご紹介しました。前述した通り、近年、場所とデバイスを問わず、様々なデータにアクセスできるようになりました。これはセキュリティの概念も従来の境界線防御ではなく、ゼロトラストという概念へ大きく変化していく事が予測されます。
その背景からIDS/IPSもエンドポイントセキュリティへの機能が強化され、AI、ビックデータを利用した、より高度なアノマリ型検知機能にシフトしていくでしょう。勿論、従来からある境界線防御型のセキュリティが無くなるわけではありません。今後しばらくは、様々な環境におけるIDS/IPSの置き方や運用について考える必要があるでしょう。本ブログが皆様のご参考になれば幸いです。