本連載の第4回では、ADCが備える主要なセキュリティ機能の1つである「WAF」について解説した。WAFはIDS/IPSとは異なり、Webアプリケーションへの攻撃を防御の対象として利用されるものであり、WAFとIDS/IPSをうまく組み合わせることで効果的な多層防御が実現できる。今回は「ADCとIDS/IPSとの関係」について、別の切り口から取り上げてみたい。というのは、進化する攻撃に対応するためにIPSの進化もめざましい。そのIPSとADCを連携させれば、より効果的に堅牢な防御を実現できるのだ。

本来のメリットを生かすのが難しいIPSの運用

まずは、IDS/IPSについて簡単におさらいしておこう。IDS(Intrusion Detection System:侵入検知システム)は、主にOSやミドルウェアの脆弱性を突く攻撃を検知するためのものだ。ネットワーク上を流れるパケットの中身を監視し、シグネチャとのパターンマッチング処理によって既知の脅威に関係すると思われる不正な通信を検知し、管理者にその旨を通知する。

IPS(Intrusion Prevention System:侵入防止システム)は、このIDSの機能に不正通信の遮断機能を追加したものだ。IDSが不正な通信を検出・通知するのみなのに対し、IPSでは検出と同時に不正な通信を遮断できるため、より強固なネットワークセキュリティを実現できる。

しかし、いまや多くの企業が当たり前のように導入しているIPSも、実際にはほとんどのケースでその機能が十分に活用されていない。せっかくIPSを導入しても、不正通信の遮断機能を使っていないケースが多いのだ。通信の遮断を行うにはIPSをネットワークのインラインに設置する必要があるが、実際にはスイッチのミラーポートに接続し、パケットのコピーを監視して不正パケットの検出のみを行っているケースがほとんどだ。

その理由は、多くの管理者が誤検知による誤遮断を嫌うためだ。IPSにより不正通信の検知を実施すると、正常なパケットを誤って不正パケットと判断して遮断してしまうケースがどうしても起こってしまう。つまり、サービスを提供したい正規ユーザーの通信を遮断して、サービス提供をできなくしてしまうのだ。これに対処しようとすると、実はハードルが非常に高い。IPSによる不正アクセスの検知は、システムの規模にもよるが1日で数千件~数万件におよぶことがある。これは自社の環境に影響がない不正アクセスまで合わせて検知するため、検知されたアクセスが本当に実害に繋がるかどうかを判断するのが難しい。また新しい攻撃が発見された場合は、その攻撃に対処するシグネチャをIPSに随時アップデートし続ける作業が必要だ。

"次世代IPS"は高度な可視化と自動化機能で管理者を救う

こうしたことから、これまで多くの企業ではIPSを採用しても、その導入メリットを十分に生かし切れていたとは言い難かった。しかし近年、こうした課題を克服できる可能性を秘めた"次世代IPS"と呼ばれる製品が出てきた。これまでにない高度な機能を備えることで、従来のIPSに付き物であった誤検知やシグネチャのアップデート作業といった運用上の泣き所を解決しようとしている。

シスコシステムズの次世代IPS製品「Cisco Sourcefire」を例にとって説明しよう。既知の脅威をシグネチャベースのパターンマッチング処理で検知するという基本的な仕組みは従来のIPSと同様だが、Cisco Sourcefireではアプリケーションレベルでトラフィックを可視化し、その内容を学習することでシグネチャを自動チューニングし、誤検知を大幅に減らす仕組みが実装されている。

具体的な仕組みはこうだ。Cisco Sourcefireはパケットのヘッダやデータフィールドを含めて分析し、どのようなホストOS上でどのようなアプリケーションがバックエンドで稼働しているのかを学習する。例えばLinux OS上にApacheを使ったアプリケーションが稼働していると判断された場合、Cisco Sourcefireは必要とされないWindows OS関連のシグネチャをパターンマッチングの対象から自動的に外すのだ。 こうしてユーザーのアプリケーション環境にとって不要なシグネチャをどんどん外していけば、そのぶん誤検知の確率は下がり、さらにシグネチャマッチングの処理量を削減できるので性能も向上する。また、管理者が自社には関係のないイベントを分析するといった無駄な手間を削減することにも役立つ。こうした仕組みによって、従来のIPSには付き物であった運用上の泣き所を取り除くことを狙っているのだ。

図1 次世代IPS シグネチャの抽出イメージ

Cisco Sourcefireではさらに、シグネチャもクラウドの仕組みを通じて自動的に更新される。世界中で発生しているインシデントを分析して検出された新たな脅威情報は、自動的にシスコシステムズが運営するクラウド上にアップロードされる。そして、その内容はただちに他のCisco Sourcefireに自動的に配布される。このような体制を敷くことで、管理者は世界中で発生しているインシデントの分析結果から得られる適切な対処を、自社のシステム環境で迅速に活用することが可能となる。

こうして次世代IPSは、従来のIPSにはなかった高度なインテリジェンスを備えることにより、これまでIPSを運用する上での大きな負担となっていたシグネチャのチューニング作業や新たな脅威情報のアップデート作業などを自動的に行うのだ。

次世代IPSのインテリジェンスとADCの連携による強固な防御を実現

従来のIPSと比べて機能が進化したとはいえ、次世代IPSの採用でIPSが本来備える通信遮断の機能をすぐに使えるようになるかといえば、そう簡単な話でもない。次世代IPSをネットワークにインラインで設置するとなると、ネットワーク構成を変更する必要がある。スイッチのミラーポートからトラフィックコピーを行う従来の構成を変えたくないという管理者も多いだろう。またSSL暗号化通信されたトラフィックを検査するには復号化処理が必要だが、次世代IPSといえども得意な処理ではないので不安が残る。

ここで大いに役立つのが、次世代IPSとADCの連携だ。先ほど紹介したCisco SourcefireとBIG-IPの連携を例にとって説明してみよう。

図2 連携ソリューション:F5 BIG-IPとCisco Sourcefire

BIG-IPは次世代IPSとの連携を前提としたAPIインタフェースを備えている。実はCisco Sourcefireには、このAPIを通じてBIG-IPと連携できる機能が実装されている。具体的にはCisco SourcefireからBIG-IPに対して、「このソースIPアドレスの通信で不正を検出したので、30秒間は特定のIPアドレスからの通信は遮断してほしい」という依頼を自動で出せるようになっているのだ。

BIG-IPはリバースプロキシとして、もともとネットワークにインライン設置されているので、Cisco Sourcefireから依頼のあった特定の通信を容易に遮断することができる。この連携機能を使えば、Cisco Sourcefire をわざわざインラインに設置せずに、かつ管理者による操作を介在させる必要もなく、迅速かつ的確に不正な通信を遮断することができるようになるのだ。

また、BIG-IPをはじめとするADCに搭載されているハードウェアチップでSSL通信を復号化した上でIPSに渡してあげれば、SSL通信もCisco Sourcefireで監視できるようになる。

このようにADCと次世代IPSの連携ソリューションは、日々高度化しているセキュリティの脅威から企業ネットワークを効果的に守るための手段として高い注目を集めている。今回紹介したような高度な連携は、現時点ではBIG-IPとCisco Sourcefireの間でしか実現されていないが、即効性や実践性が高い機能だけに、興味のある方は詳しい情報をチェックすることをお勧めする。