レイヤーと役割で考えるセキュリティ ~IPS/IDSの運用ポイント・OSI参照モデルなど~
はじめに
サイバー攻撃の高度化・巧妙化が進む中で、サイバーセキュリティ対策の手法・製品も多様化しています。皆様の中には、効果的なサイバーセキュリティ対策を実施したくても、具体的にどの手法・製品を活用したらよいか分からないと悩んでいる方も多くいらっしゃるのではないでしょうか。
そこで今回は、高度化・巧妙化するサイバー攻撃をレイヤーの観点から切り分け、その中で第3層から第6層に対する攻撃の有効な対策となるIPS/IDSについてご紹介します!
OSI参照モデルとは
OSI参照モデルとは、通信機能ごとに7つの階層に分け、それぞれの役割を分類・明確化するためのモデルです。階層ごとにプロトコルが別個に定義され、エラー時の対処方法やパケット構成、そしてデータの形式が異なります。
OSI参照モデルが構成する7層のうち、低階層がハードウェア寄りの通信となり、高階層がソフトウェア寄りの通信となります。各層の名称と、対応する主なサイバー攻撃は下表の通りです。
| 階層 | OSI参照モデル | 主なサイバー攻撃 |
| 第7層 | アプリケーション層 | SQLインジェクションクロスサイトスクリプティング |
| 第6層 | プレゼンテーション層 | |
| 第5層 | セッション層 | IPアドレス偽装SYNフラッド攻撃 |
| 第4層 | トランスポート層 | |
| 第3層 | ネットワーク層 | IPアドレス偽装 |
| 第2層 | データリンク層 | MACアドレス偽装 |
| 第1層 | 物理層 | データセンター等への侵入 |
第1層の物理層は、その名の通りケーブルやコネクタといった、物理的な接続に関するプロトコルを定義するものです。
第2層は、相互に接続している機器同士の通信を司るデータリンク層です。HDLCなどのプロトコルによって、MACアドレス偽装などを回避します。
第3層は、ネットワーク層です。IPなどのプロトコルによって正しい通信経路の確保を促し、IPアドレスの偽装を対策可能です。
第4層は、通信時のクオリティを担保するためのトランスポート層です。TCPやUDPなどのプロトコルを実装し、信頼性の高い通信環境を確保できます。
第5層はセッション層、つまり通信の開始から終了までを管理する層です。代表的なプロトコルにはSSLやTLSがあり、接続の際に問題が起きた場合、回復プロセスを実行します。
第6層は、プレゼンテーション層です。データをどのように表現するかを定義し、必要に応じて文字コードの変換などを行います。
第7層は、アプリケーション層です。アプリが提供する機能が有する仕様や、通信の方法を定義している層で、HTTPなどが代表的なプロトコルです。また、第6層、第7層はいずれもSQLインジェクションやクロスサイトスクリプティングの対策に用いられます。
レイヤーごとに考えるセキュリティ対策
サイバー攻撃への効果的な対策への一歩として、ネットワークのどの箇所がどのように狙われる可能性があるのかを理解することが必要です。前述したOSI参照モデルを把握し、ネットワークを階層として捉えることで、適切なセキュリティ対策を検討する事が可能となります。
本記事のテーマであるIPS/IDSは、OSI参照モデルの第3層から第6層を狙った、ネットワークやOS・ミドルウェアへのサイバー攻撃に有効な対策となります。
幅広いですが、第3層から第6層のプロトコルにはICMP、TCP、UDP、TLS、SMTPなどが含まれ、主にネットワーク・サーバー間の通信に関わる部分となります。
TCP/IPとの違い
現在インターネットの標準プロトコルとして採用されているのは、TCP/IPです。こちらもOSI参照モデル同様、インターネット通信を階層化していることで知られますが、OSI参照モデルよりも簡素な階層となっています。
TCP/IPは全部で4つの階層しかなく、導入効率はOSI参照モデルよりも高いのが特徴です。より高度にレイヤーを管理したい場合に、OSI参照モデルが選ばれています。
OS脆弱性対策の重要性
基本的なことかもしれませんが、現代では必要不可欠なパソコンなどのデジタルデバイスにはOSがあり、定期的なバージョンアップがあります。バージョンアップのたびに便利な機能追加などがある一方、脆弱性が残されていることも事実です。
OSはデバイスが起動している間ずっと動いているため、その脆弱性対策は非常に大切なことです。
IPS/IDSとは?
それでは、いよいよIPS/IDSについて具体的に解説していきます。
まずIPS(Intrusion Prevention System)とは侵入防御システムと言い、言葉の通り、不正に侵入してきたものに対して検出・遮断するシステムです。
IDS(Intrusion Detection System)は侵入検知システムと言い、不正・異常な通信を検知し通知するシステムです。これまで侵入を防御するもの、侵入を検知するものとして、両システムは別個に導入が行われることもありました。しかし近年は防御も検知もできる製品が増えているため、両者が同義的に扱われるケースが増えてきています。
通信の異常を検知した際、IDSは速やかに管理者への通知を行い、フィルタリングの強化により攻撃に備えることが可能です。IPSは攻撃を確認した場合に、通信を遮断して攻撃による被害を最小限に抑えられます。
IPS/IDSの種類
IPS/IDSを提供形態の観点から分類すると以下の3つに大別できます。
保護対象のネットワーク環境や運営方針に合わせてIPS/IDSを選択することが、より効果的なセキュリティ対策に欠かせません。
| 名称 | 特徴 |
| クラウド型 | IPS/IDSサービス提供者より、クラウドサービスとして提供を受ける形態です。専用機器が不要であり、企業のネットワーク構成の変更も不要です。 |
| ホスト型 | 保護対象とするサーバー自体に、ソフトウェアとしてIPS/IDSをインストールする形態です。こちらも専用機器が不要であり、企業のネットワーク構成の変更も不要です。 |
| ネットワーク型 | 各組織のネットワーク内に、専用機器としてIPS/IDSを設置する形態です。専用機器として独立して動作するため、他のサーバーに負荷をかけることがありません。 |
クラウド型は、気軽に導入ができるIPS/IDSの一種です。専用機器を必要としないので、速やかにセキュリティを強化できます。
ホスト型も、クラウド型と同様に専用機器を必要としない導入方法です。既存のサーバーに対してインストールを行うだけで、環境を構築できます。
ネットワーク型は、ゲートウェイの各所に専用機器を設置して運用する手法です。広範囲なネットワーク監視に活躍します。
IPS/IDSで検知可能な攻撃① DDoS攻撃
DDoS攻撃とは、攻撃対象とするサーバーやWebサイトに対して、意図的に過剰なデータを送付、もしくはアクセスし負荷をかけるDoS攻撃(Denial of Service attack)を複数のマシンを利用して一斉に行う攻撃です。
IPS/IDSで検知可能な攻撃② SYNフラッド攻撃
SYNフラッド攻撃とは、TCPの特性を利用した攻撃で、通信を開始する際にSYNパケットのみを大量に送り付け、攻撃側は接続確立にはあえて応じず、正規の接続要求にも応じられない状態に追い込む攻撃です。
IPS/IDSで検知可能な攻撃③ IPスプーフィング
IPスプーフィングとは、IP通信において、送信者のIPアドレスを詐称して別のIPアドレスになりすましを行う攻撃です。DDoS攻撃の際に手法として組み込まれることが多いです。
IPS/IDSの監視対象外になる攻撃
IPS/IDSでは、SQLインジェクションやクロスサイトスクリプティングなどのWebアプリケーションに対しての攻撃には対応することができません。Webアプリケーション層を狙ったものは監視の対象外であり、別途セキュリティ対策を施す必要があります。
IPS/IDSだけでなく、WAFも導入した多層防御により、セキュリティリスクを最小限に抑えましょう。
IPS/IDS導入のメリット
続いて、IPS/IDSの導入により得られるメリットについてご説明します。IPS/IDS導入の1番のメリットは、ファイアウォールなどの従来のシステムでは、防げない攻撃も検知・遮断することができる点です。また、検知・遮断はリアルタイムに行われすぐに対処することができ、時には検知のみといった機能の選択も行えます。
また、IPS/IDSはWebアプリケーションへの攻撃には対応していないことから、Webアプリケーション層にも対応しているWAFと組み合わせることでより強固なセキュリティ対策が可能となります。
IPS/IDSのデメリット
デメリットとして挙げられる点は、やはりWebアプリケーションへの攻撃には対応していないことです。昨今はWebアプリケーションの脆弱性をつくサイバー攻撃が増加傾向であるため、WAFとの組み合わせは避けられないでしょう。
また、日々の通信が誤検知か否かの判定・定義・分析といったところで設定をチューニングする必要がある点もデメリットと言えるでしょう。
IPS/IDSの導入・運用のポイント
では、IPS/IDSを実際に導入・運用していく際にどのような点に注意すればよいのでしょうか。それぞれについてポイントを解説します。
導入時のポイント
保護対象のネットワーク環境やWebサーバーの台数に応じて適切な種類のIPS/IDSを選択することがポイントです。ネットワーク構成を変更できない場合は、IPS/IDSをクラウドサービスとして提供を受けるクラウドサービス型やサーバー自体に、ソフトウェアとしてIPS/IDSをインストールするソフトウェア型のIPS/IDSが選択肢となります。
一方、サーバーの台数が多い等、保護対象の規模が大きい場合や、より詳細な検知条件の設定等を行いたい場合は、専用機器としてIPS/IDSを設置するアプライアンス型が選択肢となります。
運用のポイント
IPS/IDSを効果的に活用するために、運用フェーズでのIPS/IDSのアップデートや検出パターンの更新を小まめに実施することがポイントとなります。
また、保護対象の性質によっては、24/365の監視体制が必要な場合もあります。各組織内でこれらの体制・人員を確保することが困難な場合は、比較的運用の負担が少ないクラウドサービス型のIPS/IDSを選択するか、IPS/IDSの運用自体をアウトソーシングすることも検討が必要です。
おわりに
今回は、IPS/IDSの特徴や運用のポイントについてご紹介しました。IPS/IDSは監視対象の領域においては高い効果を発揮しますが、それ以外の領域ではその効果は失われます。多層防御の導入により、多様化する脅威に備えるべきでしょう。
IPS/IDSの具体的なメリット・デメリットや導入に際して何に気を付けるべきかなどを知っていただき、IPS/IDS導入検討の一助となれば幸いです。
また、今回ご紹介したIPS/IDSの運用に関して、JIG-SAWでは、トレンドマイクロの「Trend Micro Cloud One Workload」をSaaS型とライセンス型の2種類のご利用形態を用意し、ライセンスの調達から導入、初期設定はもちろん、導入後の煩雑な運用も、24時間365日JIG-SAWがワンストップでサポートしております。
ご要望に合わせて最適なご提案をさせて頂く事も可能ですので、 こちらのサイトご参照の上、お気軽にご相談ください。
この記事をシェア
