Enterprise Watch
最新ニュース

「IPSとIDSは設計思想からして別、その違いを理解しよう」-TippingPoint


 米TippingPointは、IPS(侵入防御装置)を手がけるトップベンダーの1つだが、その強みの1つとして、高精細なフィルタを用意していることが挙げられるという。今回、そのフィルタの開発を担当している同社DV Labsの開発担当シニアマネージャ、ロヒット・ダマンカール氏が来日し、「TippingPoint Technical Forum」で講演を行ったので、その模様を取材した。なお同氏は、SANS Top 20 Projectのディレクターも務めている人物である。


DV Labsの開発担当シニアマネージャ、ロヒット・ダマンカール氏
 講演ではまず、過去の脅威として、2003年に流行したSlammerとBlasterの2つのワームが取りあげられた。これらは非常に感染力が強く、特に「Slammerは脆弱性を持ったホストの90%が10分以内に感染した」(ダマンカール氏)といわれるくらいで、大きな災害を引き起こした。またBlasterも、テレコムや銀行、自動車の生産システムなどへ影響を与えており、10億ドル規模の被害を与えるなど、深刻な影響を与えている。ダマンカール氏は、「これらは古いものだと思うかもしれないが」と前置きした上で、「今年当社がIPSで収集したデータによると、依然として世界中で脅威になっている」と、実データを根拠に警告する。

 一方、現在の脅威については最初に、「従来のクラッカーは有名になりたいというモチベーションだけでやってきたが、最近ではお金をもうけることができる」と述べ、その位置付けが違ってきたことを指摘。東欧での組織化された犯罪グループの例を挙げ、「ハッカーを雇って主にクレジットカード関連を狙っており、ビジネスとして成功させている」と紹介したほか、日本・韓国・台湾といったアジアについても、整備されたブロードバンド環境があるがゆえに、攻撃しやすい環境として狙われているとした。

 攻撃の種類については、クライアントアプリケーションを狙った攻撃が増えている点が特筆できるという。「従来はマイクロソフトのサーバーアプリケーションの脆弱性を突いた攻撃が一般的だったものの、対策を重ねて堅固になってきているので、クライアントへターゲットが移っている」と述べたダマンカール氏は、WebブラウザやQuickTime、Media Playerなどの脆弱性が狙われていると説明した。

 サーバー側でも変化は起きており、Webアプリケーションへ狙われる対象が移っているという。アジアでの例として、「3日間で7000回以上、Webアプリケーションを狙った攻撃があったが、これは2分で3アタックというペースで、攻撃の密度が高い」としたほか、「オープンソースのWebアプリケーションで発見されている脆弱性だけを見ても、脆弱性全体の中でかなり高い割合を占めている点に注意が必要。これに、カスタムのWebアプリケーションにある脆弱性を含めると、割合はさらに高くなる」と警告する。

 また、異なる側面として、テロリズムや政治的な理由が攻撃者のモチベーションになることもあるという。この例としては、エストニアで昨年行われたDDoS攻撃を取り上げ、ロシアから政治的な理由で一斉に攻撃を受け、エストニアのネットワークが致命的なダメージを受けて混乱に陥ったと説明。さらに、「昨今では電力やガスなどのインフラもIPベースで制御されるようになっており、攻撃者に占拠され人質にされてしまう危険性もある」とも警告した。


IPSでは、自動で攻撃を検出してブロックするため、そこから出るトラフィックはクリーンになる

IPSとIDSは、そもそもの設計思想が違うため、優先すべき項目も異なっている
 では、企業はどうやって自社のネットワークを保護すればいいのか。これについてダマンカール氏は、「増えるセキュリティ上の要求とセキュリティ対応能力のギャップを埋める唯一の解は、IPSしかない」と主張する。従来、ファイアウォールを補完する機器としてはIDSが一般的に用いられてきたものの、「IDSは人員が必要なソリューション」であり、最終的には人手による判断が必要になるため、必要な人間の数は減らせず、ニーズを満たせないというのだ。「しかし、IPSは180度違うアプローチ。自動で攻撃を検出し、そこから出るトラフィックはクリーンであることが保証されている。アップデートも自動だ」とした同氏は、IPSの優位性を訴える。

 これは、IPSとIDSでは根本的な考え方が違うからだと、ダマンカール氏は話す。「IPSとIDSは1つのくくりで考えられてしまうことも多い製品だが、そもそも設計の段階から優先する項目が異なる」ということを強調した同氏は、「インラインへ導入するIPSは安定性が第一で、絶対にネットワークを止めてはいけないことを優先して開発されている。対してIDSは、人間が分析するのが前提のため、間違えてもいいからできるだけ多くのアラートを出すことを優先しており、安定性はさほど重要ではない。一方誤検知はアプリケーションを止めてしまうので、IDSよりもIPSの方が優先度が高い」と、それぞれの優先度を説明した。

 さらにダマンカール氏は、自社のIPSにおけるフィルタの作り方へ言及。「いくつかのパターンを組み合わせ、すべてを満たした場合にIPSが攻撃だと判断する。こうした精細なフィルタの判断基準を持っているので、確実にクオリティを満たせる。単純に文字列を検知すると攻撃とみなすエクスプロイトフィルタでは、攻撃が100あったら100のフィルタを書かねばならず、亜種にも対応できない」として、いくつかあるフィルタの形式のうち、TippingPointが採用している脆弱性フィルタを重視するべきだと述べた。実際、同社製品では、Blasterは2つ、Sasserは1つのフィルタで止められるが、エクスプロイトフィルタを利用する製品では、200ものフィルタが必要だった例があるという。


TippingPoint 5000E
 また、IPSを設置するのであれば、「最初はファイアウォールの前後どちらかなど境界部分だろう」としたものの、「ネットワーク内部のワーム拡散という問題もあるので、それだけでは十分ではない」と指摘。DMZやデータベースの手前、トラフィックが集中するコアネットワーク、外部ネットワークとのアグリゲーションポイント、リモートオフィスなど、さまざまな場所への配置が必要だろう」と提言した。

 なお、今後TippingPointでは、悪いトラフィックを止めるだけでなく、誰が、どういったデバイスを遣っているのかを判断する「NAC」ソリューションへの拡張も計画している。「IPSはトラフィックを判断して通していいかどうかを決め、一方NACは誰がどのデバイスからアクセスしているかを識別して制御するもの。両社を組み合わせることで3つの判断基準で止められるので、精細なコントロールが可能になる。相性がいいソリューションだ」(ダマンカール氏)。

 ダマンカール氏は、こうした点を説明した後で、「予算が十分にあってIPSとIDSが両方買えればベストだが、予算的にどちらかしか選べない、それほど人員をかけられない、ということであればIPSを選ぶべき」とまとめ、講演を締めくくっている。



URL
  米TippingPoint(日本語)
  http://www.tippingpoint.com/japan/


( 編集部 )
2008/03/24 13:00

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.