ざんねんなセキュリティ–機能しないIDS/IPS

今回は「ざんねんなセキュリティ–機能しないIDS/IPS」についてご紹介します。

関連ワード （セキュリティ、企業セキュリティの歩き方等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

　今回から「ざんねんなセキュリティ」をテーマに話をしていきたい。あんまりなタイトルだが、セキュリティを高めるために導入したはずが、実際には「ざんねん」としか言いようのない状況が散見されるので、このようなテーマを選んだ。

　ここで述べる「ざんねん」なセキュリティとは、せっかく高いコストをかけて導入した製品やサービスなのに、どこか残念なところが見え隠れするセキュリティ対策のことで、「ざんねん」という言葉をあえて使っている。少しでも多くの人にセキュリティへの興味と愛情を持っていただきたいと思い、セキュリティベンダーの講演や広告などではあまり語られてこなかったセキュリティの現実を紹介したい。

　なお、お気付きかと思うが、「ざんねん」というタイトルにしたのは、筆者が「ざんねんないきもの事典」（高橋書店刊）が大好きだからだ。心からのオマージュとして本稿を執筆したのである。

　IDS/IPS（Intrusion Detection System/Intrusion Prevention System：不正侵入検知／防御システム）とは、企業や組織のネットワークゲートウェイ（インターネットと内部ネットワークの境界）付近に設置されるセキュリティ製品だ。その名の通り、ネットワーク上の不正アクセスを検知し防御する。

　ゲートウェイセキュリティというと、その代名詞であるファイアウォール（FW）をまず思い浮かべる方が多いのではないだろうか。IDS/IPSは、FWと機能やイメージは似ているが、防御の方法などは大きく異なる。つまりIDS/IPSは、FWだけで内部ネットワークを守れなくなったことから生まれたセキュリティ製品だと言える。

　その昔、企業や組織の内部ネットワークを守るのはFWという時代が続いた。だが、サイバー攻撃者の手法が巧妙化・効率化するようになり、外部ネットワークから内部ネットワークへの不正侵入を検知・防御するためにIDS/IPSが生まれた。複数のセキュリティ対策を組み合わせた防御構造を「多層防御」といい、セキュリティ対策の大きなトレンドとなったが、IDS/IPSはそれを構築するために必要な存在になった。

　IDS/IPSのより具体的な話の前に、少しFWについて述べたい。FWは、通信の送信元と宛先を監視することで、「防火壁」のように外部ネットワークの脅威から内部ネットワークを防御する仕組みだ。その仕組みは幾つかあったが、現在では「ステートフルインスペクション」という形式が主流である。これは、通信を行う「ネットワークポート」を制御する仕組みで、ごく間単に言えば、ネットワークポートを開閉することで、不要・不正な通信を遮断する。

　例えば、FWの23番目のネットワークポート（23番ポート）が開いていると、「Telnet（読み方：テルネット）」と呼ばれる通信が可能になる。Telnetは、ネットワークに接続された機器を遠隔操作するためのアプリケーションプロトコルであり、これが開いていると、内部ネットワークに接続されているサーバーなどを外部ネットワーク側から簡単に操作できる。この状況を避けるために、FWで23番ポートのような重要なポート、あるいは普段利用しない番号のポートをあらかじめ閉じておくわけだ。

　しかし、2000年代前半にはFWだけで防御し切れない状況に陥ってしまった。そこでIDS/IPSが登場したのだ。FWと同じくネットワークゲートウェイを守るが、その守り方や守る対象が、FWとは大きく異なる。FWが通信の送信元と宛先を監視するのに対し、IDS/IPSは通信の内容に不正なものが含まれているかどうかを監視する。

　このような防御方法が必要になった理由は、繰り返し述べている攻撃手法の巧妙化である。FWでは、通信の送信元も宛先も正規なものなら、正規の通信と「みなす」。実際は「みなす」というより、それらの通信を「正規の通信」としか判断できないのだ。攻撃手法の巧妙化とは、この場合なら、サイバー攻撃者が正規の送信元や宛先になりすますことで、FWに「正規の通信」と認識させる手法ということになる。だからこそ、送信元や宛先だけでなく、通信の内容が不正かどうかを判断するIDS/IPSが必要になったのだ。

　このIDS/IPSとFWを組み合わせる多層の防御構造にすることで、不正な送信元や宛先とともに通信の内容が不正かどうか確認できる。（その当時としては）非常に堅固なセキュリティ対策の仕組みになった。

　IDS/IPSは、ITを知る年配層の中には、「少し前のセキュリティアプライアンス（セキュリティ用途に特化したハードウェア装置）」のイメージが強く、古いセキュリティ製品だと思う方もいるのではないだろうか。だが、決してそうではない。専用装置を使わなくても通信内容を監視するという機能をソフトウェアとして利用（仮想アプライアンス型などと呼ばれる）したり、クラウドサービスとして提供されたりしており、クラウドが身近になった現在のIT環境でもきっちり仕事をこなしてくれているセキュリティ対策製品だ。現在では、これにウェブアプリケーションファイアウォール（WAF：Web Application Firewall）や、従来型FWを進化させた「次世代型FW」に置き換えて、さらに堅固な多層防御を講じることが主流になっている。