侵入遮断システム(IPS)を理解する

PLURA

🛡️ 侵入防御システム(IPS、Intrusion Prevention System)は、ネットワークやホスト上で発生するさまざまなセキュリティ脅威を事前に検出し、遮断する技術です。
しかし、IPSを単なる製品や機能として捉えるだけでは、現在の複雑なセキュリティ環境を十分に説明することはできません。
OSIモデルの各レイヤーを考慮し、ネットワークホストを統合的に保護する多層防御戦略が、より効果的なセキュリティ対策となります。

IPSについて

1. IPSとOSIモデルに基づくセキュリティ対応

ネットワーク通信は通常、OSIモデルの7階層構造で分析できます。
IPSはこれらの層を異なる方法で保護し、それぞれの階層に適したアプローチが求められます。

Layer 3: ネットワーク層

  • IPアドレスベースのフィルタリング
    • 攻撃者がIPを偽装(スプーフィング)したり、不正なルーティングを誘導しようとする場合、それを識別して遮断できます。
  • ルーティングルールの最適化
    • 不要なネットワーク間のトラフィックを事前にブロックし、内部リソースへのアクセス可能性を減少させ、攻撃対象領域を縮小します。

Layer 4: トランスポート層

  • ポート番号ベースのフィルタリング
    • ポートスキャン(サーバーの開放ポートを探る試み)やSYNフラッド(特定ポートへの過剰な接続要求)などのDoS攻撃を防ぎます。
  • セッション管理
    • TCP/UDPの接続状態を追跡し、異常に多くの接続試行や不審なパターンが検出された場合、即座にブロックします。

Layer 7: アプリケーション層

  • HTTPトラフィックの分析
    • Webリクエストに隠されたSQLインジェクションXSSWebシェルのアップロードなどの攻撃を事前に検出し遮断できます。
  • 暗号化トラフィックの対応
    • HTTPSやTLSで暗号化されたトラフィックは、ネットワークレベルでは完全に可視化するのが困難です。
    • そのため、ホストベースのセキュリティ(HIPSなど)を活用し、復号後の動作を分析することが非常に重要です。

2. ネットワークベースのセキュリティソリューション:ファイアウォールとWAF

ネットワーク層で使用される代表的なセキュリティソリューションとして、ファイアウォール(Firewall)とWebアプリケーションファイアウォール(WAF)があります。

ネットワーク層 & トランスポート層:ファイアウォール(Firewall)

  1. IP・ポートフィルタリング

    • 不要なトラフィックを事前にブロックし、重要なサーバーや内部リソースへの不正アクセスを防止します。
    • これは最も基本的なセキュリティ境界を形成する役割を果たします。

  2. ステートフルインスペクション(Stateful Inspection)

    • 各パケットを独立して分析するステートレス(stateless)フィルタリングとは異なり、セッション全体の状態を追跡します。
    • 例えば、TCPの3-wayハンドシェイクが正しく行われているかを確認し、異常な接続試行を検知できます。
    • ただし、暗号化されたパケットの内部データは確認できないため、攻撃者が正常な通信を装って接続する場合には、一部限界が生じます。
    • それでも、セッション情報や統計的な監視(接続回数、接続継続時間など)を活用することで、疑わしいトラフィックを選別して遮断することは可能です。

アプリケーション層:Webアプリケーションファイアウォール(WAF)

  • Webリクエストの分析

    • Webアプリケーションに特化したセキュリティソリューションで、HTTP(S)リクエストに含まれる悪意のあるパターン(例:SQLインジェクションコードなど)を解析し、攻撃を事前にブロックします。

  • カスタムポリシー設定

    • 各Webアプリケーションの特性に応じて、詳細なフィルタリングルールを設定できるため、従来のファイアウォールよりもアプリケーション層のセキュリティに適しています。
    • ただし、暗号化トラフィックを解析するためには、SSL復号などの追加設定が必要になります。

3. ホストベースのセキュリティソリューションの重要性

ネットワークベースのセキュリティソリューションだけでは、暗号化トラフィックを完全に可視化することは困難です。
この盲点を補うために、サーバーやPC(ホスト)内部で直接動作するホストベースのセキュリティソリューション(HIPSなど)が不可欠です。

暗号化トラフィックとホスト内部での可視性

  • 復号ポイント

    • TLS/HTTPSで暗号化されたデータは、最終的に各サーバー(ホスト)内部で復号され、処理されます。
    • ここでホストベースのセキュリティソリューションが動作すれば、実際のアプリケーションの挙動を詳細に監視することが可能になります。

  • リアルタイムの行動分析

    • ファイルシステムのアクセス、メモリ改ざん、プロセス間通信などを総合的に分析し、悪意のある動作を阻止できます。

ホストベースのセキュリティソリューションの例

  1. アンチウイルス / アンチマルウェア

    • ファイルに潜伏するウイルスやランサムウェアを検出・削除し、システムの感染を防ぎます。

  2. エンドポイント検出・対応(EDR)

    • より高度な手法でホストレベルの異常な挙動をリアルタイムで追跡し、攻撃の兆候が検出された場合は自動防御または管理者に通知します。

  3. データ損失防止(DLP)

    • 機密文書や個人情報が暗号化されて外部に流出しないように監視・遮断します。

  4. アプリケーションホワイトリスト

    • 許可されたソフトウェアのみを実行できるように設定し、不審なプログラムの実行によるセキュリティリスクを低減します。

  5. セキュリティ情報・イベント管理(SIEM)

    • ホストおよびネットワークのログを統合分析し、企業全体のセキュリティインシデントを効率的に可視化・対応できるようにします。

4. IPSの包括的な定義

これまでの内容からわかるように、IPSは単に「ネットワーク侵入を防ぐための単一の装置やプログラム」ではありません。
むしろ、以下のような異なるレイヤーでのセキュリティ対策が協力し合いながら侵入を多層的に防ぐ統合セキュリティシステムです。

  • ネットワークレベル: ファイアウォール、WAF、ルーティングルール など
  • ホストレベル: HIPS、EDR、DLP、SIEM など

特に、暗号化通信の普及やクラウド環境の拡大に伴い、ホストベースのセキュリティがますます重要になっています。

✍️ 侵入防御システム(IPS)は単なる製品ではなく、ネットワークとホストセキュリティを統合的にカバーする包括的なセキュリティ戦略およびシステムを意味します。

参考事項および注意点

  1. 暗号化トラフィックの制約

    • ファイアウォールやWAFはSSL復号プロキシを導入することで暗号化されたパケットを解析できますが、
      これは追加のサーバーリソースを消費し、個人情報保護の課題を引き起こす可能性があります。
    • そのため、HIPSやEDRのようなホストベースのセキュリティソリューションの必要性がより一層強調されています。

  2. 環境ごとのセキュリティ要件

    • 実際の企業環境ごとに、トラフィック特性ネットワーク構造データの重要度が異なるため、
      それぞれに適したIPSアーキテクチャの設計・構築が求められます。

  3. 継続的なアップデートと監視

    • 攻撃手法は急速に進化しているため、セキュリティ機器やホストベースのソリューションは定期的なセキュリティパッチおよびポリシー更新が不可欠です。

💡 結論: OSIモデルの全レイヤーを考慮しながら、ネットワークベースホストベースのセキュリティを統合的に導入することが、
最新の環境におけるIPS戦略の鍵となります。
暗号化が進化しても、ステートフルインスペクション行動分析ログ統合管理を活用することで、多角的に脅威を特定し防御することが重要です。

Tags