IPSシステムによる不正アクセス対策で出来ること3選｜監視方法と検知の動作

不正アクセス対策のIPS（不正侵入防止システム）とは

IPSとは不正侵入防御（Intrusion Prevention System）の略です。
インライン上に設置することで、トラフィックの解析をリアルタイムで行うことができます。
TCPやUDP、ICMP などのプロトコルを使うことなく防御できるシステムです。
IPSではネットワークトラフィックのうち、一部分のみでなく全体を解析し、悪意のある通信などを検知・遮断できます。ファイアウォールで防げないようなアクセスもIPSなら対処できるとされています。
そのためセキュリティ強化や不正アクセス対策として、多くの企業に導入されています。

1：IDSとは

IDSとは不正侵入検知（Intrusion Detection System）の略です。
コピーされたパケットを分析し、検知して通知します。
外部から不正なアクセスがあったり、その動きがあったりした場合に、管理者への通知などを行います。

2：IPSとIDSの違い

それでは、IPSとIDSは何が違うのでしょうか。
両方とも不正アクセス対策として動作するもので、トラフィックを解析して不正なアクセスを検出し、通知するという点ではほぼ共通です。
IPSとIDSの決定的な違いとは、「検出したあと、通信を制御するかどうか」です。
IPSは不正なアクセスを検出して通知したあと、セキュリティ管理者が通知に気が付く前に通信を遮断します。
一方、IDSは不正なアクセスを検出して通知したあとの対応はしません。対応はセキュリティ管理者が行います。

IPSによる不正アクセス対策が必要な理由

IPSとIDSの違いから、IPSが不正アクセス対策に有効であることが分かりました。
ただ、IDSの通知を即座に検知して対応すれば、IPSでなくてもよいと思われます。
IPSによる不正アクセス対策が必要な理由は何でしょうか。
IPSによる不正アクセス対策が必要な理由とは、「異常検出の仕組みが異なる」ことにあります。
IPSの異常検出の仕組みは、既知の不正パケットのパターンを検出する方法と、通常と異なるトラフィックを検出する方法の二段構えになっています。
このため、ファイアウォールで防げないような未知の不正パケットも検出することができます。
一方、IDSの異常検出の仕組みは、既知の不正パケットのパターンを検出する方法のみです。
このことから、IPSが不正アクセス対策には必要であることが分かります。

IPSによる不正アクセス対策で出来ること3選

前述したとおり、IPSはファイアウォールだけでは防ぐのが困難とされていた脅威にも対応できるのが特長のひとつです。
それでは、具体的にどのような働きをするのかご紹介しましょう。

1：不正な通信を検知し遮断できる

IPSではトロイの木馬、バッグドアが仕組まれた不正な通信なども検知した後に遮断します。
またDoS攻撃やボットなどの不正な通信の脅威にも対応しています。

IDSでは不正アクセスを検知するのみですが、IPSは遮断も行います。
またP2Pソフトやリモートアクセスソフトなど、違法ではないソフトでもウイルス感染や情報漏洩のリスクがあります。
これらのアプリケーションとの通信も遮断するので、より強固なセキュリティ対策として機能します。
以下がIPSで遮断可能な通信とアプリケーションの一覧です。

2：遮断可能な通信

最初はIPSで遮断可能な通信についてです。
遮断可能な通信は、「DDoSサーバとの通信」、「DoS攻撃」、「バックドアやトロイの木馬による通信」、「サービスの脆弱性を突く攻撃」、「プロトコルアノマリ攻撃」、「バッファオーバーフロー攻撃」の6つがあります。
それでは、それぞれについて説明していきます。

DDoSサーバとの通信

IPSで遮断可能な通信の1つ目は、「DDoSサーバとの通信」です。
DDoS（Distributed Denial of Service）とは、複数のコンピュータから同時に行われるサーバ攻撃のことです。
回線のトラフィックを増大させサーバの負荷を上げる等して、攻撃対象のネットワークやサーバの機能を妨害します。
攻撃者が複数の無関係なコンピュータを乗っ取って攻撃するため、検出した後もファイアウォールによるフィルタリングが難しいことから、IPSでの防御が有効な不正アクセス対策となります。

DoS攻撃

IPSで遮断可能な通信の2つ目は、「DoS攻撃」です。
DoS攻撃（Denial of Service attack）とは、単独のコンピュータから行われるサーバ攻撃のことです。
回線のトラフィックを増大させサーバの負荷を上げる等して、攻撃対象のネットワークやサーバの機能を妨害します。
攻撃するコンピュータは単独なので、攻撃を検知した後にファイアウォールによるフィルタリングで対応できますが、未知のサーバからの攻撃は防げません。
このことから、IPSでの未然の防御が有効な不正アクセス対策となります。

バックドアやトロイの木馬による通信

IPSで遮断可能な通信の3つ目は、「バックドアやトロイの木馬による通信」です。
バックドアやトロイの木馬は、正規のソフトやファイルになりすます不正プログラムで、個人情報を盗み取ったり他のコンピュータへの攻撃の踏み台にしたりするものです。
未然の検知が難しいことからファイアウォールやIDSによる予防的な防御は出来ず、IPSの導入が有効な不正アクセス対策となります。

サービスの脆弱性を突く攻撃

IPSで遮断可能な通信の4つ目は、「サービスの脆弱性を突く攻撃」です。
SQLインジェクションやクロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）に代表されるようなサーバのOSやミドルウェアの脆弱性を突く攻撃はほぼ日常の脅威であり、セキュリティ管理者は毎月ベンダーから提供される脆弱性対策アップデートの適用対応に追われています。
ベンダー提供の脆弱性対策アップデートは攻撃が認識された後に出されるものですので、「サービスの脆弱性を突く攻撃」に対する予防対策としてはIPSの導入が有効な不正アクセス対策と言えます。

プロトコルアノマリ攻撃

IPSで遮断可能な通信の5つ目は、「プロトコルアノマリ攻撃」です。
「プロトコルアノマリ」とは「異常な通信の手順」のことです。
異常な通信手順を用いた攻撃はファイアウォールやIDSによる事前の定義では防ぎきれません。
IPSではプロトコル異常が正常時からどれだけ外れるかで検知することができます。
ただし、検知のために設定する閾値によっては正常な通信が遮断される恐れもあります。
有効な不正アクセス対策とするためには、設計段階での十分な調査や導入後の継続的なメンテナンスによるチューニングが必要です。

バッファオーバーフロー攻撃

IPSで遮断可能な通信の6つ目は、「バッファオーバーフロー攻撃」です。
「バッファオーバーフロー」とは、サーバ内にある「バッファ」と呼ばれるメモリ領域を超えるデータが送られ、処理できずにあふれたデータが他のメモリ領域に書き込まれるものです。
悪意あるコードを「あふれたデータ」の中に仕込んでサーバを乗っ取るのが「バッファオーバーフロー攻撃」となります。
この攻撃は、前述した「脆弱性を突く攻撃」の一種です。
そのため、事前の対策はベンダーから提供される脆弱性対策アップデートの適用となりますが、未然の予防対策としてはIPSの導入が不正アクセス対策として有効な手段となります。

3：遮断可能なアプリケーション

続いてはIPSで遮断可能なアプリケーションについてです。
遮断可能なアプリケーションは、「P2P」、「メッセンジャー」、「リモートアクセス」の3つがあります。
それでは、それぞれについて説明していきます。

P2P

IPSで遮断可能なアプリケーションの1つ目は、「P2P」です。
「P2P」とは「peer to peer」の略で、2台のコンピュータ同士がサーバを介さずに直接データをやり取りすることです。
過去には、「P2P」の技術を用いたファイル共有ソフトによるトラフィック増大や違法ファイルのやり取り、ウィルスが混入したファイル共有によるウィルス感染などの問題が発生しています。
ただ、「P2P」自体はサーバへの負荷を低減する自立分散型ネットワークモデルとして利用されています。
ファイアウォールやIDSによる一括的な対応ではなく、IPSで異常検出による対応が、不正アクセス対策として有効となります。

メッセンジャー

IPSで遮断可能なアプリケーションの2つ目は、「メッセンジャー」です。
「メッセンジャー（インスタント・メッセンジャー）」は、ネットに繋がっている相手とメッセージのやり取りができるソフトウェアのことです。
過去には複数のメッセンジャーソフトでオーバーフローの脆弱性が問題となってことがあります。
メッセンジャーソフトはP2P技術を利用していることから、ウィルス拡散の危険性も指摘されています。
正常時には問題ないソフトですので、IPSで異常検知時に遮断するのが、不正アクセス対策として有効と言えます。

リモートアクセス

IPSで遮断可能なアプリケーションの3つ目は、「リモートアクセス」です。
「リモートアクセス」とは、離れた場所からネットワーク経由でコンピュータに接続する「遠隔操作」のことです。
働き方改革で注目されているテレビ会議システムと並んで多く利用されています。
便利な「リモートアクセス」も、不正アクセスや盗聴、改ざん、なりすましと言ったリスクが存在しますが、VPN（Virtual Private Network）を使った接続をすることでリスク回避が可能です。
VPNを介さないリモートアクセスをIPSで検知し遮断するという運用が、不正アクセス対策として有効となります。

IPSの検知の動作

ここまでIPSによる検知の有効性を紹介してきました。ここではIPSの検知の動作について紹介します。
IPSの検知の動作には2つあり、1つは「シグネチャ型」、もう1つは「アノマリ型」です。
それぞれ不正アクセス対策にどのくらい有効なのかを紹介します。

シグネチャ型

IPSの検知動作の1つ目は、「シグネチャ型」です。
「シグネチャ型」は、シグネチャ（検出ルールやパターン）をあらかじめ登録しておいて、監視しているネットワーク上のデータとシグネチャが一致したときに不正と判断します。
「不正検出型」とも言われます。
「シグネチャ型」のメリットは、誤検知が少ないことです。
デメリットとしては、登録されたシグネチャ以外は不正と検知しないので、未登録の攻撃や未知の攻撃を不正として検知することができないことです。
「シグネチャ型」は、「既知の攻撃」に対する不正アクセス対策として有効な動作と言えます。

アノマリ型

IPSの検知動作のもう1つ目は、「アノマリ型」です。
「アノマリ型」は、ネットワークが正常な時の状態から閾値を設定して登録し、監視しているネットワークの状態が閾値を外れたときに不正と判断します。
「異常検出型」とも言われます。
「アノマリ型」のメリットは、「シグネチャ型」で検知できない未登録の攻撃や未知の攻撃を検知することができることです。
デメリットとしては、閾値の設定次第で誤検知が多くなる若しくは検知ができない可能性があることです。
「アノマリ型」は、「未知の攻撃」に対する不正アクセス対策として有効な動作と言えます。

IPSでより高度な不正アクセス対策ができる

IPSを導入することで、不正な通信やアプリケーションなどを検知・遮断できます。
社内データや顧客の情報を守るためにも、不正アクセスへの対策はとても重要ですので、不正アクセス検知・遮断システムの導入を検討してはいかがでしょうか。