キヤノンMJ/サイバーセキュリティ情報局

IDSやIPSなどの主なネットワークセキュリティソリューションとネットワークの守り方

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「IDSとIPSで何が違う?ネットワークをどう守るべきか?」を再編集したものです。

 デジタル化の進展が著しい企業活動において、それらの通信を支えるネットワークはますます重要となっている。そのセキュリティレベルを高めるには、IDSやIPSといったセキュリティソリューションを活用する必要がある。この記事では、ネットワークセキュリティの考え方をおさらいし、どのようにネットワークセキュリティを確保すべきかを考察する。

ネットワークセキュリティの考え方

 ネットワークは、OSI参照モデルに準じて物理層からアプリケーション層に沿う形で構成される。そのため、ネットワークセキュリティを検討する場合には、OSI参照モデルを考慮に入れつつ、適切なソリューションを導入しなければならない。

 昨今のリモートワークの普及をはじめ、企業のネットワーク環境も複雑化している。そのため、自社の業務環境に応じた最適なネットワークセキュリティを模索する必要がある。また、サイバー攻撃の巧妙化に伴うゼロトラストセキュリティという概念の広がりもある。従来のネットワークセキュリティに対する考え方や取り組みをアップデートしていく必要に迫られているのだ。

主なネットワークセキュリティソリューション

 一般的に知られているネットワークセキュリティソリューションは、IDSIPSファイアウォールだろう。近年では、複数の機能を提供する複合型のソリューション、あるいはクラウドサービスとして提供されるものも存在する。それぞれの特徴と相違点は以下のとおりだ。

IDS

 IDSとは「Intrusion Detection System」の頭文字をとった用語で、不正侵入検知システムのことだ。ファイアウォールが許可した通信であっても、その振る舞いや通信状況から攻撃の兆候を察知する。多くの場合、OSI参照モデルにおけるアプリケーション層で動作するシステムだ。事前に攻撃の兆候をシグネチャとして登録し、その通信と比較して不正な通信を判断するのがシグネチャ型のIDSだ。また、通常の通信とは大きく異なる振る舞いを検知することで、未知の攻撃も検知可能なアノマリ型のIDSも知られている。

 ファイアウォールで許可された通信を監視するセキュリティソリューションであることから、ファイアウォールの内側にゲートウェイとして設置されることが多い。その一方で、特定のサーバーを保護することを目的としたホスト型のIDSも存在する。IDSの場合、不正検知した際は、誤検知によるネットワークへの影響を踏まえて通信そのものは遮断せず、管理者に通知するにとどまる。

IPS

  IPSとは「Intrusion Prevention System」の頭文字からなる単語で、不正侵入防止システムを指す。IDSが不正を検知した場合、管理者への通知にとどめるのに対し、IPSは不正な通信そのものを遮断する。セキュリティ強度は高まるものの、誤検知の場合には業務に支障が出るなど、影響範囲は大きくならざるを得ない。

 なお、IPSにもIDS同様にシグネチャ型、アノマリ型が存在する。シグネチャ型のIPSを導入する場合、シグネチャの定期的な更新が求められる。また、アノマリ型の場合はチューニングが必須であり、高度なセキュリティ知識や経験が必要になる。IPSの導入は、自社が保有する情報資産の価値や、業務への影響を考慮しながら検討することになる。

ファイアウォール

 ファイアウォールは、企業内のネットワーク環境とインターネット環境の境目(ゲートウェイ)に設置される防火壁的存在のシステム。基本的な機能は、IPアドレスやポート番号から、その通信の遮断可否を判別することだ。主に、アプリケーション層より下のレイヤーで動作するものが多い。しかし、最近ではHTTPやSMTPといったアプリケーション層で動作するファイアウォールも登場している。

 ただし、許可されている通信であっても、それが不正なものかを判断するのは従来のファイアウォールでは難しい場合もある。そのため、IDSやIPSといった不正侵入検知の仕組みも併せて検討する必要がある。

UTM

 UTMとは「Unified Threat Management」の略であり、和訳すると「統合脅威管理」を意味する。UTMは1つのハードウェアの中に、複数のセキュリティソリューションを内包し、オールインワンで提供する。主にファイアウォール機能、IPS/IDS、マルウェア対策やアンチスパム、Webフィルタリング機能などが提供される。

 比較的に安価で簡易的にセキュリティレベルを向上させることができるツールであると言えるだろう。その一方で、複数の機能を1台のハードウェアに集約することから、ネットワークのボトルネックになってしまう懸念がある。また、UTMの不具合は、企業のネットワーク通信の不具合に直結することになるため、導入の際は冗長構成も検討する必要があるだろう。

クラウド型セキュリティソリューション

 企業や拠点ごとにソフトウェアやアプライアンスとして設置していた、ファイアウォールやUTMといったセキュリティソリューションをクラウドサービスとして利用するものである。従来のオンプレミス型のソリューションの場合は多額の初期費用が必要となり、保守運用のコストも生じる。しかし、クラウド型であれば、初期費用を抑制できるだけでなく、通信トラフィックに応じた利用料のみで、必要なサービスを利用することができる。また、運用の手間も省くことができるため、その利用は広がっている。

 ハイブリッドワーク時代を迎え、場所を問わず仕事ができる環境の変化は、クラウド型のセキュリティ市場を拡大させる要因の1つになっている。その一方で、セキュリティに対する知識やノウハウが蓄積されにくく、インシデント発生時の対応が遅れる可能性も否定できない。自社の仕事の進め方や運用の手間、コストなど、多角的な視点で最適なセキュリティソリューションを選定することが求められる。

ネットワークをどう保護していくべきか

 従来型のネットワークセキュリティの考え方は、許可する通信と遮断する通信を明確に区別し、許可された範囲内で通信を行うという考え方が一般的だった。しかし近年では、先述したゼロトラストと呼ばれる考え方がネットワークセキュリティの前提となりつつある。クラウドサービスが普及した現在では、守るべき情報資産は社内ネットワークだけではなく、各種クラウドサービスなどをはじめ、インターネット上にも保存・保管される状況に変化している。

 その結果、個人情報、機密情報といった情報資産やそれに対する脅威も、社内・社外を問わず広範囲に及んでいることが懸念される。そのため、ゼロトラストの前提に立ち、ネットワークのセキュリティ対策を進めることが求められているのだ。例えば、以下のような対策を検討する必要がある。

社内外を区別するファイアウォールの設置

 インターネットと社内ネットワークの境界に設置されるファイアウォールは、ネットワークセキュリティの要となる。しかし、IPアドレスやポート番号で通信を許可するような従来型のファイアウォールでは、インターネットからの攻撃を確実に防御することは難しい。アプリケーションレベルでのプロトコルを制御することに加え、許可された通信であっても信頼せず、その挙動をも検知する、IPS/IDSの機能も不可欠となっている。また、自社の状況によっては、複数の機能をオールインワンで提供するUTMの導入を検討してみても良いだろう。

ゲートウェイにおけるマルウェアの検出

 通常のメール送受信のようにIPS/IDSで許可された通信であっても、マルウェアが添付されている、あるいはフィッシング詐欺など悪意あるメッセージである可能性もゼロではない。このような通信を遮断するためにも、通信については極力、ゲートウェイ型のシステムでマルウェアを検出できる仕組みが求められる。システム導入によってネットワークへの負荷が懸念される場合、クラウドセキュリティ、エンドポイントセキュリティ対策などと連携を図ることで、システム全体でセキュリティの最適化を目指す必要があるだろう。

モバイルワークを実現するネットワークセキュリティ

 モバイルワークは時間や場所を問わず、業務可能な環境と安全性の確保を両立させることが必要だ。しかし、各企業の状況やセキュリティポリシーに依存することもあり、万能なセキュリティ対策は存在し得ない。VPN通信を用いて社内ネットワークへ安全にログインする、あるいは許可された端末のみがアクセス可能なクラウドサービスを用いることで、一定の安全性は担保できるだろう。

 また、ネットワークセキュリティにとどまらず、認証やアクセスコントロールを含めたシステム全体でのセキュリティ対策という視点も求められる。ソリューション導入によるセキュリティ対策だけでなく、従業員教育や業務ルールの策定・運用徹底といった、基本的かつ組織的な対策も欠かせないはずだ。

難易度が高まるネットワークセキュリティ対策

 ネットワークに接続される情報端末は、パソコンだけではなく、タブレットやスマートフォンなど多岐にわたる。さらに、IoT機器の利用が広がる中で、ウェアラブル端末や工作機械などもネットワーク接続が前提となりつつある。業務環境は今後もより多様化し、社外から社内ネットワークへアクセスする従業員が増える企業も出てくるだろう。そうした変化も踏まえると、ネットワークセキュリティは今後、より一層重要性が高まるのはほぼ既定路線だと言える。自社の状況に応じたネットワークセキュリティ対策を、常に進化させていこうとする意識や取り組みが求められている。