Microsoft PowerPoint - 入門編：IPSとIDS、FW、AVの違い(v1.1).ppt

Size: px

Start display at page:

Download "Microsoft PowerPoint - 入門編：IPSとIDS、FW、AVの違い(v1.1).ppt"

がんまいなおか
5 years ago
Views:

1 入門編 :IPS と IDS FW AV の違い (Rev.1.1) 日本アイビーエム株式会社 ISS 事業部

2 IDS との違いは? IPS とは? IDS とは - 不正侵入検知 (Intrusion Detection System) ではコピーされたパケットを分析しイベントを検知して通知する仕組みです - TCPコネクションに対してはRSTパケットを送出し切断する機能を有しておりますが通信上の 1 発目のパケットに対しては有効とはなりえずまたUDP 及びICMPのパケットについては遮断することが不可能です IPSとは - 不正侵入防御 (Intrusion Prevention System) の意インライン上に設置しリアルタイムにトラフィックの解析を行いますそのうえで自動的に通過もしくは遮断の判断を行ないアクションを実行します - TCP, UDP, ICMP などのプロトコルに依存せず防御を実現可能です IDS 破棄 IPS RSTパケット NIC RSTパケット攻撃 NIC NIC TCPによる攻撃 2

次に必要な通信のみ許可するという形となりますこの為機器 ( ファイアウォール ) が故障した時の基本動作はフェイルクローズ ( 通信の全断 ) となります IPS(Proventia ) では - ネットワークトラフィックの一部分のみだけではなく

3 IPS とファイアウォールの違いファイアウォールのアクセス制御 - ファイアウォールはポート番号とIPアドレスによるアクセス制御ルールに基づき許可と遮断を判断しますこれはネットワークトラフィックのごく一部の情報にすぎません - アクセス制御ルールに合致し通過を認められた通信についてはその通信自体の中身は問われません ( ワームや不正アクセスや攻撃などの悪意のある通信などに対して正常かどうかの判断は行わない ) - ファイアウォールの基本的な考え方はまずは全ての通信を不許可とし次に必要な通信のみ許可するという形となりますこの為機器 ( ファイアウォール ) が故障した時の基本動作はフェイルクローズ ( 通信の全断 ) となります IPS(Proventia ) では - ネットワークトラフィックの一部分のみだけではなく通信の内容を含む全体を解析し悪意のある通信を検出した場合には自動的に遮断を行います - IPS の基本的な考えはまずは全ての通信を許可とし不正なパケットのみを不許可とする形となりますこの為機器 (IPS) が故障した時の基本動作はフェイルオープン ( 通信の維持 ) となります 3

4 ウィルスワームボットの違いウィルスとは - 他の第三者に寄生する不正プログラム単体では存在し得ず媒介するもの ( メールプログラム Webページなど ) が必要活性化しないと感染は起こらないワームとは - 第三者を介さない独立した不正プログラム単独で伝播増殖が可能ネットワーク経由での伝播が特徴的 ( ネットワークに接続しているだけで感染する可能性がある ) 感染の際にセキュリティ上の脆弱点を攻撃ボットとは - ボットは命令を受けて実行する独立した不正プラグラムワームとトロイの木馬の機能を併せ持っているワームと同様感染の際にセキュリティ上の脆弱点を攻撃 - パターンファイルが追いつかない公にならない限りパターンファイルが提供されない ( 検体がないため ) 自分自身をアップデートし姿を変えアンチウィルスソフトから発見駆除を回避するものがある 4

ウィルスワームボットに対して - AntiVirus と IPS の対応の違い AntiVirus の場合 AntiVirus の仕組み - ネットワークトラフィックを解析するのではなく

(SMTP POP HTTP FTP IMAP など ) を介するファイルのみを解析対象としています - パターンファイルは AntiVirus ベンダーが入手したウィルスの検体を元に作成されます

種類ものネットワークプロトコルとデータフォーマットに対応 (2008 年 6 月現在 ) しワームやウィルスが利用する OS やアプリケーションの脆弱性といった攻撃手法を検知防御します -

5 ウィルスワームボットに対して - AntiVirus と IPS の対応の違い AntiVirus の場合 AntiVirus の仕組み - ネットワークトラフィックを解析するのではなくファイルそのものを解析対象としています - 侵入後に作成改変されたファイルが確認されて始めて検出されます - ゲートウェイ型 AntiVirus ではネットワークトラフィックの特定のプロトコル (SMTP POP HTTP FTP IMAP など ) を介するファイルのみを解析対象としています - パターンファイルは AntiVirus ベンダーが入手したウィルスの検体を元に作成されます ( 検体が出るまでは対応不可 ) ウィルスの亜種が発生した場合はベンダーに存在が確認された後ファイルの内容やパターンに応じた対応が必要になるため事後対応が基本となります攻撃侵入ファイルの作成改変検知! IPS(Proventia) の場合 - ネットワークトラフィックを解析対象としメール添付などのファイルそのものの解析は行いません - Proventia では 194 種類ものネットワークプロトコルとデータフォーマットに対応 (2008 年 6 月現在 ) しワームやウィルスが利用する OS やアプリケーションの脆弱性といった攻撃手法を検知防御します - 脆弱点対応型の防御ソリューションを提供しているためワームの亜種毎の対応は必要なく脆弱点に対しては該当するシグネチャのみでの対応つまり該当システムに仮想的なパッチを適用した状態であるバーチャルパッチを実施可能ですメモリへの常駐検知時点では攻撃は完了してしまっている! IBM Internet Security Systems IPS(Proventia) の場合攻撃検知! 防御攻撃が完了する前に防御! 5

亜種亜種 )) には影響されには影響されませんません他社の場合他社では操作後に送られる実行ファイル毎でその都度の対応に迫られます操作で共通性のある ISS 製品はまさにバーチャルパッチです

6 IBM ISSの提唱するバーチャルパッチと他社の対応の違いソフトウェア上でみつかったセキュリティホール (( ある操作をされると意図しない動作をされるない動作をされる )) を修正するプログラムです攻撃者はそのセキュリティホールをつく為のその操作を行います IBM ISS ならそのセキュリティホールをつくその操作振る舞い振る舞いを検出します操作後に送られる実行ファイルの違い (( 亜種亜種 )) には影響されには影響されませんません他社の場合他社では操作後に送られる実行ファイル毎でその都度の対応に迫られます操作で共通性のある ISS 製品はまさにバーチャルパッチです例としてアンチウィルスベンダーの場合は駆除駆除を目的とする為検体がないと (( 世の中に拡散しないとの中に拡散しないと )) 駆除するための情報駆除するための情報が不明な為対応が遅れます 6

7 バーチャルパッチを実現する X-Force の実績事前防御を実現するバーチャルパッチを支える技術世界で公表された高危険度の脆弱性の多くを発見報告した実績 IBM ISSの一組織である X-Forceは民間組織で世界最大規模のセキュリティ専門機関活動内容 - 研究活動 (Research) 脆弱性研究の活動 ( コア ) 他のセキュリティ機関学術機関ベンダー等の情報収集にあたるフィールド調査活動 X-Force DataBase(XFDB) へのナレッジ蓄積 - 開発 (Development) ISSプロダクトへのXPUの提供 - 教育 (Education,PR) 7

8 攻撃種別による AntiVirus と IPS との比較ウィルスへの対応ワームへの対応 ( 脆弱点対応 ) ボットへの対応 ( 脆弱点対応 ) AntiVirus - ( ゲートウェイでもデスクトップの対応でも可 ) ( 亜種毎でのパターンアップデートが必要 0-day 攻撃に対応できない ) ( 検体を得難い為対応が難しい ) IPS ( パターンファイルは無いが傾向を知るシグネチャなどがあり感染状況を確認するなどの対応は可能 ) ( 亜種毎でのパターンアップデートは不要 0-day 攻撃に対応可能 ) バーチャルパッチ ( 亜種毎でのパターンアップデートは不要 0-day 攻撃に対応可能 ) バーチャルパッチ 8

9 本資料に関してのお問い合わせ先日本アイビーエム株式会社 ITS 事業 ISS 事業部パートナーセールス部 TEL : isssales@jp.ibm.com URL : 当資料に関するお問い合わせは担当営業または上記までご連絡ください Copyright IBM Japan, Ltd 日本アイビーエム株式会社 Produced in Japan Jun 2008 All Rights Reserved この説明資料の情報は2008 年 6 月現在のものです仕様は予告なく変更される場合があります記載のデータはIBM 社内の調査に基づくものであり全ての場合において同等の効果が得られることを意味するものではありません効果はお客様の環境その他の要因によって異なります製品サービスなどの詳細については ISSSales@jp.ibm.com 弊社もしくはビジネスパートナーの営業担当員にご相談ください IBM IBMロゴ X-Force Proventia Network MFSは International Business Machines Corporationの米国およびその他の国における商標 Microsoftは Microsoft Corporationの米国およびその他の国における商標 Adobeは Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標他の会社名製品名およびサービス名等はそれぞれ各社の商標 9

なぜIDSIPSは必要なのか？(v1.1）.ppt

なぜIDSIPSは必要なのか？(v1.1）.ppt なぜ IDS/IPS は必要なのか? ~ アプローチの違いにみる他セキュリティ製品との相違 ~ (Rev.1.1) 日本アイビーエム株式会社 ISS 事業部ファイアウォール = Good Guys IN アクセスを制御しています決められたルールに乗っ取りルールに許可されたものを通過させそれ以外の通信を遮断しますそのルールは通信を行っているホスト (IPアドレス) の組合せとそのポート番号の情報だけに依存します