入門編 :IPS と IDS FW AV の違い (Rev.1.1) 日本アイ ビー エム株式会社 ISS 事業部
IDS との違いは? IPS とは? IDS とは - 不正侵入検知 (Intrusion Detection System) では コピーされたパケットを分析しイベントを検知して通知する仕組みです - TCPコネクションに対してはRSTパケットを送出し切断する機能を有しておりますが 通信上の 1 発目のパケットに対しては有効とはなりえず またUDP 及びICMPのパケットについては遮断することが不可能です IPSとは - 不正侵入防御 (Intrusion Prevention System) の意 インライン上に設置しリアルタイムにトラフィックの解析を行います そのうえで自動的に通過もしくは遮断の判断を行ないアクションを実行します - TCP, UDP, ICMP などのプロトコルに依存せず防御を実現可能です IDS 破棄 IPS RSTパケット NIC RSTパケット 攻撃 NIC NIC TCPによる攻撃 2
IPS とファイアウォールの違い ファイアウォールのアクセス制御 - ファイアウォールはポート番号とIPアドレスによるアクセス制御ルールに基づき 許可と遮断を判断します これはネットワークトラフィックのごく一部の情報にすぎません - アクセス制御ルールに合致し通過を認められた通信については その通信自体の中身は問われません ( ワームや不正アクセスや攻撃などの悪意のある通信などに対して正常かどうかの判断は行わない ) - ファイアウォールの基本的な考え方は まずは全ての通信を不許可とし 次に必要な通信のみ許可するという形となります この為 機器 ( ファイアウォール ) が故障した時の基本動作はフェイルクローズ ( 通信の全断 ) となります IPS(Proventia ) では - ネットワークトラフィックの一部分のみだけではなく 通信の内容を含む全体を解析し 悪意のある通信を検出した場合には自動的に遮断を行います - IPS の基本的な考えは まずは全ての通信を許可とし 不正なパケットのみを不許可とする形となります この為 機器 (IPS) が故障した時の基本動作はフェイルオープン ( 通信の維持 ) となります 3
ウィルス ワーム ボットの違い ウィルスとは - 他の第三者に寄生する不正プログラム 単体では存在し得ず 媒介するもの ( メール プログラム Webページなど ) が必要 活性化しないと感染は起こらない ワームとは - 第三者を介さない独立した不正プログラム 単独で伝播 増殖が可能 ネットワーク経由での伝播が特徴的 ( ネットワークに接続しているだけで感染する可能性がある ) 感染の際にセキュリティ上の脆弱点を攻撃 ボットとは - ボットは命令を受けて実行する 独立した不正プラグラム ワームとトロイの木馬の機能を併せ持っている ワームと同様 感染の際にセキュリティ上の脆弱点を攻撃 - パターンファイルが追いつかない 公にならない限りパターンファイルが提供されない ( 検体がないため ) 自分自身をアップデートし姿を変え アンチウィルスソフトから発見 駆除を回避するものがある 4
ウィルス ワーム ボットに対して - AntiVirus と IPS の対応の違い AntiVirus の場合 AntiVirus の仕組み - ネットワークトラフィックを解析するのではなく ファイルそのものを解析対象としています - 侵入後に作成 改変されたファイルが確認されて始めて検出されます - ゲートウェイ型 AntiVirus では ネットワークトラフィックの特定のプロトコル (SMTP POP HTTP FTP IMAP など ) を介するファイルのみを解析対象としています - パターンファイルは AntiVirus ベンダーが入手したウィルスの検体を元に作成されます ( 検体が出るまでは対応不可 ) ウィルスの亜種が発生した場合はベンダーに存在が確認された後 ファイルの内容やパターンに応じた対応が必要になるため 事後対応が基本となります 攻撃 侵入 ファイルの作成 改変 検知! IPS(Proventia) の場合 - ネットワークトラフィックを解析対象とし メール添付などのファイルそのものの解析は行いません - Proventia では 194 種類ものネットワークプロトコルとデータフォーマットに対応 (2008 年 6 月現在 ) し ワームやウィルスが利用する OS やアプリケーションの脆弱性といった攻撃手法を検知 防御します - 脆弱点対応型の防御ソリューションを提供しているため ワームの亜種毎の対応は必要なく 脆弱点に対しては該当するシグネチャのみでの対応 つまり該当システムに仮想的なパッチを適用した状態である バーチャルパッチ を実施可能です メモリへの常駐 検知時点では攻撃は完了してしまっている! IBM Internet Security Systems IPS(Proventia) の場合 攻撃 検知! 防御 攻撃が完了する前に防御! 5
IBM ISSの提唱するバーチャルパッチと他社の対応の違いソフトウェア上でみつかったセキュリティホール (( ある操作をされると意図しない動作をされるない動作をされる )) を修正するプログラムです 攻撃者は そのセキュリティホールをつく為の その操作を行います IBM ISS なら そのセキュリティホールをつくその操作 振る舞い振る舞い を検出します 操作後に送られる実行ファイルの違い (( 亜種亜種 )) には影響されには影響されません ません 他社の場合 他社では操作後に送られる実行ファイル毎でその都度の対応に迫られます 操作で共通性のある ISS 製品はまさにバーチャルパッチです 例としてアンチウィルスベンダーの場合は 駆除駆除 を目的とする為 検体がないと (( 世の中に拡散しないとの中に拡散しないと )) 駆除するための情報駆除するための情報が不明な為 対応が遅れます 6
バーチャルパッチを実現する X-Force の実績 事前防御を実現するバーチャルパッチを支える技術 世界で公表された高危険度の脆弱性の多くを発見 報告した実績 IBM ISSの一組織である X-Forceは民間組織で世界最大規模のセキュリティ専門機関 活動内容 - 研究活動 (Research) 脆弱性研究の活動 ( コア ) 他のセキュリティ機関 学術機関 ベンダー等の情報収集にあたるフィールド調査活動 X-Force DataBase(XFDB) へのナレッジ蓄積 - 開発 (Development) ISSプロダクトへのXPUの提供 - 教育 (Education,PR) 7
攻撃種別による AntiVirus と IPS との比較 ウィルスへの対応 ワームへの対応 ( 脆弱点対応 ) ボットへの対応 ( 脆弱点対応 ) AntiVirus - ( ゲートウェイでもデスクトップの対応でも可 ) ( 亜種毎でのパターンアップデートが必要 0-day 攻撃に対応できない ) ( 検体を得難い為対応が難しい ) IPS ( パターンファイルは無いが 傾向を知るシグネチャなどがあり 感染状況を確認するなどの対応は可能 ) ( 亜種毎でのパターンアップデートは不要 0-day 攻撃に対応可能 ) バーチャルパッチ ( 亜種毎でのパターンアップデートは不要 0-day 攻撃に対応可能 ) バーチャルパッチ 8
本資料に関してのお問い合わせ先 日本アイ ビー エム株式会社 ITS 事業 ISS 事業部パートナーセールス部 TEL : 03-5740-4060 E-Mail : isssales@jp.ibm.com URL :http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 当資料に関するお問い合わせは 担当営業 または上記までご連絡ください Copyright IBM Japan, Ltd. 2008 日本アイ ビー エム株式会社 Produced in Japan Jun 2008 All Rights Reserved この説明資料の情報は2008 年 6 月現在のものです 仕様は予告なく変更される場合があります 記載のデータはIBM 社内の調査に基づくものであり 全ての場合において同等の効果が得られることを意味するものではありません 効果はお客様の環境その他の要因によって異なります 製品 サービスなどの詳細については ISSSales@jp.ibm.com 弊社もしくはビジネス パートナーの営業担当員にご相談ください IBM IBMロゴ X-Force Proventia Network MFSは International Business Machines Corporationの米国およびその他の国における商標 Microsoftは Microsoft Corporationの米国およびその他の国における商標 Adobeは Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標 他の会社名 製品名およびサービス名等はそれぞれ各社の商標 9