なぜ IDS/IPS は必要なのか? ~ アプローチの違いにみる他セキュリティ製品との相違 ~ (Rev.1.1) 日本アイ ビー エム株式会社 ISS 事業部
ファイアウォール = Good Guys IN アクセスを 制御 しています 決められたルールに乗っ取り ルールに許可されたものを通過させ それ以外の通信を遮断します そのルールは 通信を行っているホスト (IPアドレス) の組合せと そのポート番号の情報だけに依存します * これらはトラフィック中のごく一部の情報にすぎません ファイアウォールの通過を認められた通信については その通信の内容は不問です - 同じ IP アドレス ポート番号の組合せであれば 正常通信であろうと ワームであろうと SQL インジェクションの通信だろうと構いません 許可されたもの (Good Guys) は安全であり 通過させる (IN) というコンセプトです - 例 : インターネットに公開された Web サーバとインターネットの間にファイアウォールが存在した場合 不特定多数の IP アドレスから Web サーバの TCP80 番ポートへのアクセスは許可されます * 許可されない場合 Web サーバアクセスできるのは 誰もいない 若しくはあるいは一部の限られた IP アドレスを持つ人だけとなってしまうからです 2
ファイアウォール = Good Guys IN -Web へのアクセス WWW http(tcp80) = OK! http://www.isskk.co.jp/ 一般的な Web へのアクセス要求とそれに対する応答 3
ファイアウォール = NOT enough 36% 64% 弊社の調査によれば あるサイトにおいて不正侵入を狙った攻撃として確認された通信のうちの 64% が TCP80 番向けの通信だった もちろん 攻撃の発信元はインターネット上のあらゆるIPアドレスから ファイアウォールでこれらの攻撃を止めることは Webサーバへのアクセスを全閉することと同じ Web サーバーへの攻撃そのほかの攻撃 ファイアウォールで Web サーバへのアクセスを許可しつつ Web サーバへの攻撃を止めるには? HTTP 系攻撃の割合サンプル数 : 約 24 万イベント日数 :9 日間 *IBM ISS 調べ 4
ファイアウォール = NOT enough - IIS Unicode Decording WEB http = OK! 許可されたリクエストだが... 任意のプログラムを実行 http://www.isskk.co.jp/ scripts/..%c0%af.. ファイアウォールは通信の内容を考慮しない 5
アンチウイルス = NOT enough アンチウイルスは ファイル を監視しているだけ - ファイルが生成されないものは検出できない 監視できるのは SMTP,POP3,HTTP,FTP,IMAP など限られたプロトコルのみ - 脅威は 他のプロトコルからもやってくる - Ex. MS Blaster MSRPC SQL Slammer MSSQL 2004 年 1 年間でISSのセキュリティオペレーションセンターで最も多く確認された攻撃は SSLライブラリの脆弱性に関連するものでした 企業 団体等の2 社に1 社は年に一度は重大なセキュリティ上の問題が発生しているそのうちの99% はファイアウォールとアンチウイルス対策が施されていた IPaddress PortNo <Firewall> 限られたなルールでアクセス制御 Source: 2003 CSI/FBI Computer Crime & Research Survey SMTP POP3 FTP HTTP <AntiVirus> 特定のプロトコルから悪意のあるコードを検出 除去 6
IDS / IPS = Bad Guys OUT IDS( 不正侵入検知システム ) IPS( 不正侵入防御システム ) は トラフィックの一部ではなく 全体を解析し 不正アクセス攻撃などの悪意ある通信 (Bad Guys) を検出します また IPSは検出した通信を遮断 (OUT) します IBM ISSのIPS/IDSは 160を超える種類のプロトコル アプリケーションの通信に対応しています ファイアウォールは通信の一部であり IP アドレスやポート番号情報が含まれるヘッダー部分のみを解読します IDS/IPS はヘッダー部分に加え 通信の内容が含まれるペイロード (payload) 部分に至る通信全体を解読 ( 解析 ) します 7
IPS があれば! WWW http = OK! http://www.isskk.co.jp/cgi-bin/phf?qalias=. IPS 装置が通信を遮断 合わせて攻撃者にリセットパケットを送りセッション終了を通知 8
IBM ISS の IPS 製品群 アプライアンス製品 - Proventia Network IPS シリーズ ネットワーク型 IPS( 不正侵入防御 ) 製品であり HUBやスイッチのように 既存のネットワークのケーブル接続点として実装可能なため ネットワークセグメント ルーティング等の構成変更が不要 - Proventia Network MFSシリーズ 不正侵入防御機能の他に ファイアウォール アンチウイルス spam フィルター URL フィルターを兼ね備えた 統合型セキュリティアプライアンス ソフトウェア製品 - RealSecure Server Sensor / Proventia Server サーバー向け製品 サーバーマシン上にインストールして利用 管理コンソールを通じ 一元管理 一元アップデートが可能 - RealSecure Desktop Protector クライアント PC 向け製品 それぞれの PC 毎にインストールされるが Server Sensor と同様の一元管理を同じ管理コンソールで実現 9
Thank you! 製品に関するお問い合わせ日本アイ ビー エム株式会社 ITS 事業 ISS 事業部パートナーセールス部 TEL : 03-5740-4060 E-Mail : isssales@jp.ibm.com URL : http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 当資料に関するお問い合わせは 担当営業 または上記までご連絡ください Copyright IBM Japan, Ltd. 2008 日本アイ ビー エム株式会社 Produced in Japan Jun 2008 All Rights Reserved この説明資料の情報は2008 年 6 月現在のものです 仕様は予告なく変更される場合があります 記載のデータはIBM 社内の調査に基づくものであり 全ての場合において同等の効果が得られることを意味するものではありません 効果はお客様の環境その他の要因によって異なります 製品 サービスなどの詳細については ISSSales@jp.ibm.com 弊社もしくはビジネス パートナーの営業担当員にご相談ください IBM IBMロゴ X-Force Proventia Network MFSは International Business Machines Corporationの米国およびその他の国における商標 Microsoftは Microsoft Corporationの米国およびその他の国における商標 Adobeは Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標 他の会社名 製品名およびサービス名等はそれぞれ各社の商標 10