ネットワークやインターネットなどに不正なアクセスをして攻撃が行われることがあります。
そういった攻撃はますます進化しており、それを防ぐ防御ツールもそれに合わせて強化していく必要があります。
そこでここでは不正侵入検知、防衛に関するツールについて紹介していきたいと思います。
もし興味がある資料がございましたら是非ダウンロードしてみてください。
クラウド型システム監視サービス『CustomerStare』ご紹介資料 | 株式会社キャリアヴェイル
情シス業務の
面倒くさい!
良く分からない!
リソースが足りない!
セキュリティ対策強化にも!! を解消します。
■こんなお悩みございませんか?
業務が属人化されていて、業務の継続性にリスクがある・・・
クラウド・リモートワーク化で、社内ユーザーからの問い合わせが増大している・・・
24/365の監視を導入したいが予算が合わない・・・
UTMを導入時の設定のまま運用しており、ログを活用した脅威や不正の確認も行ってない・・・
などなど
■CustomerStareとは?
24時間365日の監視による情報システムの安定稼働と障害の早期発見を、平日の有人監視と夜間・休日の自動監視で提供するハイブリッド・クラウド・サービスです。
障害発生時の報告と対応支援、システム稼働状況の可視化とレポートも標準サービスに含まれるので、IT運用の属人化を防止し、最適なシステム運用が実現できます。
さらに、企業のネットワークセキュリティの状況が一目で分かるUTMログレポートも標準提供。セキュリティ対策強化にもワンストップでご活用いただけます。
コロナ禍によってテレワークやDX等が急速に普及するなか、中堅・中小企業において限られた人数で全社のIT運用を担当する情報システム部門や、小人数情シス・兼務情シスの業務改善のための駆け込み寺として、情報システム部門の人材不足を解消します。
■CustomerStare導入の4つのメリット
★システム環境を可視化し、24/365で異常を即座に検知。
システムの「いまの状態」を常に把握できます。
システムの可視化で、属人的だったシステム構成や運用業務を標準化できます。
ビジネスアワーの有人監視と休日・夜間の自動監視の組み合わせで、適切な予算で監視業務の導入を実現できます。
★障害が発生してしまった場合もインフラエンジニアが強力サポート
システム障害発生時は、初期対応を強力にサポート(※弊社サービス時間内の場合)。ダウンタイムの短縮で、ビジネスの機会損失を最小限に低減します。
ログの収集・保管も行うので、障害の根本原因を特定できます。
★安定的且つ最適なシステム運用を実現するパートナー
監視対象システムの状態を月に一度分析し、レポートで報告。リソースの配分や機器のリプレースなど、評価・改善にお役立てください。
★セキュリティ意識の向上とセキュリティ運用の定着に寄与
UTMのウイルスパターンファイルや不正攻撃シグネチャの更新状況を定期的に確認。ライセンスの更新漏れなどによって脅威に的確に対応できていない状態に、いち早く気付くことができます。
■CustomerStareの事例
★営業職向け共有モバイル回線の速度制限を、アラートで事前検知
数百人の営業社員が、各々の現場から社内環境へアクセスするためにモバイル回線を契約。月間の通信量が契約の上限を超えると速度制限がかかるため、毎日目視確認するのが大きな負荷となっていました。
CustomerStareの監視機能によって通信量に応じたアラートの仕組みを構築でき、毎日の確認作業から開放され、営業職から問い合わせが来る前に対応する事が可能になりました。
★原因不明のVPN接続の不具合が解消
VPN経由で社内の業務システムを利用する際、度々接続が途切れたり遅延が発生していました。
CustomerStareのサポートへ相談したところ、ログや監視状況をもとにネットワーク上のボトルネックをすぐに発見。設定の見直しを行ったところ、社外からのアクセスが見違えるほど改善し、ストレスなく使えるようになりました。
不正侵入検知・防衛(IDS・IPS)とは
不正侵入検知システム「IDS」、不正侵入防御システム「IPS」とはどういったものなのでしょうか。
ここではそれらについて紹介していきます。
不正侵入検知「IDS」とは
「IDS」とは「Intrusion Detection System」を略したものです。
Intrusion(=侵入)をDetection(=検知)するというところから名前がついています。
ネットワーク上を常に監視することで、通信ネットワークに対して外部から不正にアクセスされていないかどうかを検知しています。
不正なアクセスがあった場合、もしくはその兆候があった場合には管理者に自動的に通知がされるようになっています。
不正なアクセスをリアルタイムで検知して通知されるため、管理者はそれに対してすぐに対応することができます。
ただしIDSの仕事は不正アクセスの検知までであり、それ以上に対応するということはできません。
つまりこの「IDS」のみでは不正なアクセスを完全に防御することはできません。
不正侵入防御「IPS」とは
「IPS」とは「Intrusion Prevention System」を略したものです。
Intrusion(=侵入)を Prevention(=防御)するというところから名前がついています。
こちらはその名前の通り、ネットワーク上の不正なアクセス、侵入を防御することができます。
実際にはアクセスログの改ざん防止や不正パケットの遮断を行うことができます。
IDSの働きである不正侵入の検知だけでなく、それに対して防御することもできるという機能だと言えます。
「IDS」「IPS」の種類とは
それぞれの検知方法は大きく分けると2種類があります。
・シグネチャ型
こちらはあらかじめ不正な攻撃、アクセスのパターンを登録しておくことで、そのパターンと一致した通信を不正と判断して検知する方法です。
不正な攻撃を防ぐ機能が高いのですが、まだ登録されていない不正なアクセスのパターンに対しては弱くなっています。
・アノマリ型
こちらはあらかじめ正常なアクセスのパターンを登録しておき、その正常なパターンと違う通信を不正と判断して検知する方法です。
未知の不正アクセスに対して強いという反面、誤検知が多いという弱点もあります。
そして監視方法にも大きく分けると2つの種類があります。
・ネットワーク型
こちらのネットワーク型はネットワーク上の通信パケットを収集して、そのデータやプロトコルヘッダを解析します。
基本的には監視対象となるネットワークに設置されることとなります。
・ホスト型
ホスト型では監視対象のサーバーなどにインストールして、OSが記録するログファイルやサーバ内のファイル改ざんを監視することが可能となります。
OSの監視機能と連携して不正侵入の検出をすることができます。
ただ、システムをインストールされたホストでしか機能しないので、保護したいパソコンがいくつもあるという場合にはそれぞれのパソコンにインストールする必要があります。
「IDS」「IPS」が防ぐことができる攻撃とは
IDS・IPSが防ぐことができるのは以下の3種類の攻撃です。
それぞれの特徴を紹介していきます。
・DoS攻撃(DDoS攻撃)
DoS攻撃(DDoS攻撃)とは、Webサイトやサーバに対して一方的に大量のデータやアクセスを送りつけるサイバー攻撃です。
攻撃対象となっているwebサービス、サーバに大量のアクセスを集中させることで大きな負荷をかけてサーバダウンやサービス停止に追い込む攻撃となっています。
DoS攻撃は1台のコンピュータで行われるのすが、DDoS攻撃は複数のコンピューターから一斉にサイバー攻撃を仕掛けてくるものとなっています。
そのためDDoS攻撃の方がDoS攻撃に比べてより膨大なデータが送られてくるため、大きな負荷をかける攻撃となります。
また、複数のIPアドレスから攻撃を仕掛けてくるため、犯人の特定が困難で、防御が難しい攻撃というのが特徴です。
・Synフラッド攻撃
Synフラッド攻撃とは、DoS攻撃(DDoS攻撃)の一種であり、サーバの負荷を増大させてサービス停止に追い込むサイバー攻撃です。
方法としてはサーバに送信元IPアドレスを詐称した接続要求通信(SYN)を大量に送ることで、webサイトに大きな負荷をかけてサーバダウンを狙います。
・バッファオーバーフロー攻撃(BOF)
バッファオーバーフロー攻撃(BOF)とは、許容量以上のデータを送りつけることで相手側に、誤作動を起こさせるサイバー攻撃です。
「バッファ」とは、コンピュータ上でプログラムが実行される際に、一時的にデータを保持するメモリー領域のことです。
ここで保管できるデータ量はあらかじめ想定されており、その範囲内で処理が行われます。
ここに同時に大量のデータが送付されて確保された領域からデータがあふれ出る(バッファオーバーフロー)ことで、別のメモリにあふれ出たデータが上書きされてしまい、データが破壊されてしまうのです。
さらにここで攻撃者によって書き込まれた不正なプログラムを実行してしまって、管理者権限を乗っ取られたりされてしまう可能性もあります。
不正侵入検知・防衛(IDS・IPS)とWAF違い
同じネットワーク上の防衛システムとして、WAFがありますがそのシステムとは何が違うのでしょうか。
WAFは「Web Application Firewal」はwebアプリケーションの弱い部分を攻めてくる攻撃に対して検知して防御することに特化した防衛システムのことです。
例えば「Google Chrome」「Youtube」などがwebアプリケーションです。
こうしたwebアプリケーションの防衛が主な目的となります。
IDS・IPSと、このWAFとの違いは守備範囲の広さです。
WAFはwebアプリケーションの防御に特化したものとなっているのですが、IDS・IPSはサーバーやネットワークなどのシステム全般を幅広く守ることができます。
そのため、webアプリケーションを攻撃してくるものに対してはWAFが優れていると言えますが、OSなど幅広いシステム全体を守るためにはIDS・IPSの方が優れているということになります。
不正侵入検知・防衛(IDS・IPS)とファイアウォール違い
ファイアウォールとは直訳すると「防火壁」となります。
その名前の通り普通は外部ネットワーク(インターネット)と内部ネットワークの間に設置されて、インターネットを通じて不正アクセスをしてくることを防衛することが可能となっています。
通信の送信元や宛先を監視することで不正だと疑われる通信をブロックすることが可能となっています。
一見役割がIDSやIPSと似ているように感じますが、ファイアウォールは通信の送信元や宛先を監視することはできますが、通信の内容までは確認することができません。
そのため正常な通信に見せかけた攻撃には対応できない場合があります。
それに対してIDSやIPSは通信内容まで監視を行います。
そうした機能があるため、正常な通信のように見せかけても通信の内容に不正な内容があれば検知や防御が可能となります。
このようにファイアウォールとIDS・IPSとは不正通信の判断の仕方が違っているものとなっているのです。
不正侵入検知・防衛(IDS・IPS)導入時メリット・デメリット
IDS・IPSを導入する際にはいくつかのメリットとデメリットがあります。
ここではそれらについて順に紹介していきます。
「IDS」「IPS」の導入メリットとは
一般的なファイアウォールでは通信の送信元や宛先を監視することはできますが、通信内容までは確認することができません。
そのため「ソフトウェア・OS」「webサーバー」などの脆弱性を攻撃されると対応できない、検知できない、防衛できないということがあります。
しかしIDSやIPSは通信の中身まで確認した上で不正なアクセスかどうかを判断することとなります。
正常な通信のように見せかけていても通信内容に不正がある場合は検知したり防御したりすることが可能となっています。
こうしたファイアウォールなどでは防げない不正アクセスを防御できるというメリットがあるのです。
そのため、IDS・IPSを導入し、ファイアウォールやWAFなどと組み合わせて使うことで、さらに強固なセキュリティ対策を行うことが可能となるのです。
「IDS」「IPS」の導入デメリットとは
IDSやIPSはセキュリティシステムですので導入することでデメリットとなるということはあまりありません。
強いて言えば、導入時に導入コストがかかる、運用していくのに月額使用料などのランニングコストがかかるということがあります。
ただ、企業規模が大きくなるほどサイバー攻撃を受ける頻度も増えますし、受けた際の被害も大きくなりますので、セキュリティ対策はしっかりと行う方が無難です。
不正侵入検知・防衛(IDS・IPS)選定時のポイント
IDS・IPSを導入する際のポイントとしては大きく分けると3つがあります。
・導入のタイプ
IDSやIPSは監視対象によって「ネットワーク型」と「ホスト型」があります。
特定のネットワーク上の通信内容を監視したい場合はネットワーク型を、サーバの中まで高精度に異常検知をしたい場合にはホスト型を選ぶと良いでしょう。
また、自社で細かく設定したり、ネットワークの構築をするのが難しい場合にはクラウドサービスを利用するのがおすすめです。
・価格、費用
こういったツールを利用する際には導入するのに、運用するのにどれだけの費用がかかるのかということが重要となります。
導入する際にどれだけ費用がかかって、毎月運用していくのにどれだけの費用がかかるかということを考えた上で費用対効果を考えていきましょう。
・フォロー体制、サポート体制の有無
社内に詳しい知識を持つ従業員がいない場合などは利用するサービスの運営からのフォロー体制やサポート体制がどれだけ整っているかが重要となります。
導入する際にはそういったサポート面がどれだけ充実しているかも確認しておきましょう。
不正侵入検知・防衛(IDS・IPS)のまとめ
”
IT化が進む世の中ではそれにつれてサイバー攻撃も増加しています。
そうした攻撃から大事なデータを守っていくためにはセキュリティ対策が不可欠です。
まだ導入していないという場合はぜひIDS・IPSの導入を考えてみましょう。