IDS/IPSとは?IDSとは「Intrusion Detection System(不正侵入検知システム)」の略で、ネットワーク通信を監視して不正アクセスや攻撃などの兆候や深刻な脅威をシグネチャ(防御ルール)に則って検知します。 IPSは「Intrusion Prevention System(不正侵入防御システム)」の略で、同じくシグネチャにマッチした外部からの不正な攻撃を検知すると、その不正な通信・パケットを遮断することができます。IDS/IPSいずれも、不正な通信・パケットを検知した際は、管理者にアラートで通知することができます。IDS/IPSはFirewallでは防げないネットワークやOS、ミドルウェアといった汎用ソフトウェアに対する「脆弱性を突いた攻撃」を防御したり、ハッカーとのC&C通信します。また、IDS/IPSが市場にリリースされた20年ほど前は、専用アプライアンスでの提供が主流でしたが、CPUの処理能力の大幅な向上により、昨今はUTMの一機能として提供されています。IDS/IPSで防げる攻撃IDS・IPSは、ネットワークやOS、ミドルウェアを守備範囲として、ネットワークの通信をリアルタイムで監視しています。この特性を活かして、下記のような攻撃を防ぐことが可能です。OS・ミドルウェアの脆弱性を突いた攻撃IDS/IPS配下のOS、ミドルウェアに対して仮想的にパッチを当てた状態になることから、脆弱性を突いた攻撃を防ぐことができます。JPCERT/CC や JVNなどの脆弱性情報データベースからCVE ID※で検索することによって、“どの脆弱性に対応しているか?”を把握することができます。DoS・DDoS攻撃IDS・IPSは、悪意のある第三者が大量のトラフィックをサーバーやネットワークに送り付け、アクセス集中による通信のパンクを狙うDoS攻撃を防ぐことができます。閾値(いきち)を設ける方法などで、DDoS攻撃もある程度防ぐことができますが、DDoS攻撃を高レベルで防御するには、日々のトラフィックの傾向学習が必須となり、専用のアプライアンスやサービスが必要になります。バッファオーバーフローバッファオーバーフローは、データの入出力や転送をスムーズに行うために一時的にデータを蓄えておくバッファに、許容量を超えるデータを書き込んで想定外の動作や動作不良、機能停止を起こすサイバー攻撃です。バッファオーバーフローは、OSやサーバーの脆弱性を狙った攻撃と言えるため、IDS/IPSはバッファオーバーフローの対策にも効果を発揮します。SYNフラッド攻撃SYNフラッド攻撃は、TCP接続が成立した後、サーバーに大量のSYNリクエストを送信し、サーバーからのメッセージを無視して行う攻撃です。これにより、サーバーに多数のオープン状態のセッションを確立し、マシンリソースを消費させることで他からの要求に応えられない状態にして、サービスをダウンさせます。IDS/IPSはトラフィックを監視して、不正なリクエストを検知するため、SYNフラッド攻撃を回避することができます。※CVE ID(CVE識別番号)とは CVE に登録された脆弱性 / エクスポージャーに対して付与される一意の識別番号です。IDS/IPSで防げない攻撃IDS・IPSは、ネットワークやOS、ミドルウェアを守備範囲としているため、Webアプリケーション(アプリケーション層)のバグや脆弱性を狙った攻撃には弱いです。以下に代表的な例を挙げます。下記は “三大インジェクション攻撃” と呼ばれます。SQLインジェクションWebアプリケーションの脆弱性を利用し、不正なSQL文をデータベースに注入することで、データの搾取、改ざん、データ削除などを行う攻撃です。CSRF:Cross-Site Request ForgeryWeb アプリケーションのユーザー(利用者)に意図しない通信リクエストを送信させ、利用者の意図しない処理をサービスに実行させることが可能となる脆弱性、またはその脆弱性を利用した攻撃手法です。XXS:Cross-Site ScriptingWebサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃です。Cookieからセッション情報が盗まれるセッションハイジャック、偽サイトに誘導され個人情報を窃取されるフィッシング、改ざん被害に繋がるリスクがあります。上記については、Webアプリケーションへの脆弱性を突いた攻撃に特化したWAF(Web Application Firewall)の導入が有効です。ここで誤解されがちなのが、「WAFベンダーから言われた...。」ともお聞きするのですが、「WAFを入れたらIDS/IPSは必要ないのでは?」です。ただ、前述のとおり、両者はそもそも守備範囲が違うため特にWebサーバなどDMZを守る際は両方が必要になります。まとめサイバー攻撃の脅威から自社を守るためには、IDS・IPSの導入は不可欠です。更にWebアプリケーションを守るWAFなど、異なる守備範囲を持つツールを併用することが推奨されます。また、IDS/IPS、WAFはグレーな検知が大量に発生するため、運用社による負担(最新の脅威情報のキャッチアップを含む)が比較的大きなセキュリティソリューションです。自社に合ったチューニングも必要になるため、専用のMSP業者へ運用をアウトソーシングすることも有効であり、結果的に自社運用するよりもローコストだったりもします。『Cygiene』について、ぜひお問い合わせください。