IDS/IPSとは？～不正な通信からネットワークを保護～

IDS/IPSは、それぞれ「侵入防御システム」「侵入検知システム」と呼ばれるものです。日本では企業におけるセキュリティ対策として、長い間、ファイアウォールに次いで導入率の高いセキュリティ対策機器です。ファイアウォールと補完し合って企業をサイバー攻撃から守ります。従来のIDS/IPSは機能が限定的で、UTM（統合脅威管理製品）などに乗り換えるケースも増えていますが、次世代IDS/IPSの登場によってユーザーが増えています。今回は、IDS/IPSの有効性について取り上げます。

マルウェアだけではないサイバー攻撃

ウイルス対策ソフトなどに代表されるエンドポイントセキュリティ対策は、ファイルを主な対象として危険なものを検出します。しかし、エンドポイントとなるパソコンなどは文字通りに終端にあるものですので、できるだけ早い段階でサイバー攻撃に気づき、対処することが効果的です。

企業へのサイバー攻撃はファイルの形で届くマルウェアだけではありません。通信パケットとして届くサイバー攻撃も多くあります。例えば「DoS攻撃／DDoS攻撃」があります。これは、企業のWebサーバー（Webサイト）に膨大なパケットを送りつけてWebサーバーを異常な高負荷状態にし、Webサイトを応答不能にする攻撃です。

人気のライブチケットの発売日や、テレビで新製品が紹介されたときなどは、それらを取り扱うECサイトにアクセスが一斉に集中し、ECサイトが応答しなくなることがあります。DoS攻撃／DDoS攻撃は、こうした状況を意図的に作り出し、アクセスを可能にするために金銭を要求することを狙った攻撃です。最近では第三者のIoT機器をマルウェアに感染させて攻撃に参加させることで、より強力なDDoS攻撃を行います。

社内で使用しているソフトウェアの脆弱性を悪用しようとする攻撃にも、通信パケットが使われることがあります。特に「バッファオーバーフロー」と呼ばれる種類の脆弱性を狙う攻撃が多く、攻撃が成功するとソフトウェアに不具合が発生したり、外部から勝手に操作されてしったりすることもあります。IDS/IPSは、こうした通信パケットによるサイバー攻撃に対応するためのセキュリティ対策製品です。

IDS/IPSは、IDSとIPSという別々の製品の組み合わせです。IDSは「Intrusion Detection System」の略で、「侵入検知システム」、IPSは「Intrusion Prevention System」の略で、「侵入防御システム」と訳されます。いずれも不正な通信パケットを検知するものですが、IDSは検知するとアラートを発して担当者に注意を促すのに対し、IPSでは検知後に防御や遮断を行うことが大きな違いとなっています。

IDS/IPSの特徴と種類

企業へ侵入する通信パケットを検知するため、IDS/IPSは企業のネットワークと、インターネットなど外部のネットワークとの接点である「ゲートウェイ」と呼ばれる部分に設置されるのが一般的です。この場合は、ルーターやスイッチに直結するタイプと、これらのミラーポートに配置するタイプがあります。IPSの場合、ルーター／スイッチ直結タイプはその場で攻撃を食い止めることができますが、ミラーポート配置タイプの場合は攻撃が届いてしまうことを認識しておくべきでしょう。

提供形態は、ハードウェアアプライアンスとしてゲートウェイに設置するハードウェア型と、サーバーにアプリケーションをインストールするソフトウェア型、そしてクラウドサービスとして提供されるクラウド型の3つがあります。従来はハードウェア型を導入するケースがほとんどでしたが、導入や運用の手間がかかるため、最近では導入が容易で運用を外部に任せることができ、定額の月額課金で利用できるクラウド型の導入が増えています。

IDS/IPSが不正な通信を検知する方法は、シグネチャ型が一般的です。これは、攻撃に使用される通信パケットの特徴をパターンとして記録し、通信中のパケットと照らし合わせることで不正な通信を検知する手法で、ウイルス対策ソフトのパターンファイル（定義ファイル）と同じような手法です。そのため、シグネチャは定期的なメンテナンスや更新が必要です。また、通常行われる通信を学習し、それと異なる通信を見つけ出す「ふるまい型」の検知が可能な製品もあります。

一時期、企業がIDS/IPSを採用するケースが減っていました。その主な理由はサイバー攻撃の変化です。通信パケットなどインターネットを介したサイバー攻撃は、Webアプリケーション（Webサイト）を標的としたものが急増しています。Webアプリケーションは種類が多い上に脆弱性のあるアプリケーションが多いためです。

また、脆弱性によってはWebサイトの裏にある顧客情報などの重要なデータにアクセスできるようになります。昨今の情報漏えい事件でも、脆弱性を悪用した不正アクセスの事例が多くあります。Webサイトは複数のWebアプリケーションで構成されており、むやみに更新すると互いに影響を及ぼす可能性があるため、脆弱性が発見されてもすぐにパッチやアップデートを適用することが難しいという問題もあります。

脅威に対応して進化した「次世代IDS/IPS」とは

従来のIDS/IPSは、Webアプリケーションは対象の範囲外でした。IDS/IPSやファイアウォールが登場した時代には、インフラやネットワークの層、ソフトウェアやOSの層への攻撃が中心で、Webアプリケーション層への攻撃は少なかったためです。そのため、Webアプリケーションの保護に特化した「WAF」（Webアプリケーションファイアウォール）や「UTM」（Unified Threat Management：統合脅威管理製品）を採用するケースが増えました。

さらに、IDS/IPSは基本的に「外部から内部へ」の攻撃に対応するもので、侵入してしまったマルウェアや内部犯行による、社内の重要なデータを外部に送信することを検知することはできません。しかし、IDS/IPSは基本的なセキュリティ対策として安定した効果が見込めます。また、「次世代IDS/IPS」と呼ばれる新たな製品も登場し始めています。

次世代IDS/IPSでは、機能や性能が強化されているほか、他のセキュリティ対策製品との連携機能が充実しています。シグネチャの更新頻度が増えて新たなサイバー攻撃に素早く対処できるようになり、ふるまい検知機能の精度も向上しています。さらに、世界的なサイバー脅威情報（サイバーインテリジェンス）と連携したり、他の機器との連携でネットワークの状況を可視化したりすることも可能です。脆弱性を検出して対応すべきことの優先度を表示できるものもあります。

サイバー攻撃は次々に新たな手法が開発され、実施されます。目的も妨害や思想の主張といったものから金銭目的へと変化し、攻撃手法も多岐にわたります。その背景には、スマートフォンやIoT機器の普及による攻撃対象、いわゆる「アタックサーフェイス」の拡大があります。

しかし、セキュリティ対策製品も日々進化しています。これからのセキュリティ対策には、未知の攻撃手法にも対応できる柔軟性や拡張性が求められます。今後のセキュリティ対策製品・ソリューション・サービス選びも、将来性を加味する必要があるでしょう。例えばVMware社では、VMware NSXシリーズの「VMware NSX Advanced Threat Prevention」でIDS/IPSは提供しており、ネットワーク仮想化との連携によってセキュリティを効率的に高めることが可能なソリューションを提供しています。