入門編：IPSとIDS、FW、AVの違い

IBM Internet Security Systems
入門編：IPSとIDS、FW、AVの違い
(Rev.1.1)
日本アイ・ビー・エム株式会社
ISS事業部
© Copyright IBM Corporation 2008
IBM Internet Security Systems
IDSとの違いは？ IPSとは？

IDSとは

-
不正侵入検知(Intrusion Detection System)では、コピーされたパケットを分析しイベントを検
知して通知する仕組みです。
-
TCPコネクションに対してはRSTパケットを送出し切断する機能を有しておりますが、通信上の
1発目のパケットに対しては有効とはなりえず、またUDP及びICMPのパケットについては遮断
することが不可能です。
IPSとは
-
不正侵入防御(Intrusion Prevention System)の意。インライン上に設置しリアルタイムにトラ
フィックの解析を行います。そのうえで自動的に通過もしくは遮断の判断を行ないアクションを
実行します。
-
TCP, UDP, ICMP などのプロトコルに依存せず防御を実現可能です。
IPS
IDS
RSTパケット
NIC
破棄
RSTパケット
攻撃
NIC
NIC
TCPによる攻撃
2
© Copyright IBM Corporation 200８
IBM Internet Security Systems
IPSとファイアウォールの違い

ファイアウォールのアクセス制御
-
ファイアウォールはポート番号とIPアドレスによるアクセス制御ルールに基づき、許可と遮断を判断します。これはネットワー
クトラフィックのごく一部の情報にすぎません。
アクセス制御ルールに合致し通過を認められた通信については、その通信自体の中身は問われません (ワームや不正アクセ
スや攻撃などの悪意のある通信などに対して正常かどうかの判断は行わない) 。
-

ファイアウォールの基本的な考え方は、まずは全ての通信を不許可とし、次に必要な通信のみ許可するという形となります。
この為、機器 (ファイアウォール) が故障した時の基本動作はフェイルクローズ (通信の全断) となります。
IPS(Proventia®)では
3
-
ネットワークトラフィックの一部分のみだけではなく、通信の内容を含む全体を解析し、悪意のある通信を検出した場合には
自動的に遮断を行います。
-
IPSの基本的な考えは、まずは全ての通信を許可とし、不正なパケットのみを不許可とする形となります。この為、機器 (IPS)
が故障した時の基本動作はフェイルオープン (通信の維持) となります。
© Copyright IBM Corporation 200８
IBM Internet Security Systems
ウィルス、ワーム、ボットの違い

ウィルスとは
-
他の第三者に寄生する不正プログラム
• 単体では存在し得ず、媒介するもの (メール、プログラム、Webページなど) が必要
• 活性化しないと感染は起こらない

ワームとは
-
第三者を介さない独立した不正プログラム
• 単独で伝播、増殖が可能
• ネットワーク経由での伝播が特徴的（ネットワークに接続しているだけで感染する可能性がある)
• 感染の際にセキュリティ上の脆弱点を攻撃

ボットとは
-
ボットは命令を受けて実行する、独立した不正プラグラム
• ワームとトロイの木馬の機能を併せ持っている
• ワームと同様、感染の際にセキュリティ上の脆弱点を攻撃
-
パターンファイルが追いつかない
• 公にならない限りパターンファイルが提供されない(検体がないため)
• 自分自身をアップデートし姿を変え、アンチウィルスソフトから発見・駆除を回避するものがある
4
© Copyright IBM Corporation 200８
IBM Internet Security Systems
ウィルス、ワーム、ボットに対して - AntiVirusとIPSの対応の違い AntiVirusの場合

ファイルの
作成・改変
AntiVirusの仕組み
-
ネットワークトラフィックを解析するのではなく、ファイルそのものを解析対象としています。
侵入後に作成・改変されたファイルが確認されて始めて検出されます。
ゲートウェイ型AntiVirusでは、ネットワークトラフィックの特定のプロトコル (SMTP、POP、
HTTP、FTP、IMAPなど) を介するファイルのみを解析対象としています。
パターンファイルはAntiVirusベンダーが入手したウィルスの検体を元に作成されます(検体
が出るまでは対応不可)。ウィルスの亜種が発生した場合はベンダーに存在が確認された後、
ファイルの内容やパターンに応じた対応が必要になるため、事後対応が基本となります。
攻撃
侵入
検知！
メモリへの常駐

IPS(Proventia)の場合
-
検知時点では攻撃は完了してしまっている！
ネットワークトラフィックを解析対象とし、メール添付などのファイルそのものの解析は行いま
せん。
Proventiaでは194種類ものネットワークプロトコルとデータフォーマットに対応 (2008年6月現
在) し、ワームやウィルスが利用するOSやアプリケーションの脆弱性といった攻撃手法を検
知・防御します。
脆弱点対応型の防御ソリューションを提供しているため、ワームの亜種毎の対応は必要なく、
脆弱点に対しては該当するシグネチャのみでの対応、つまり該当システムに仮想的なパッ
チを適用した状態である “バーチャルパッチ” を実施可能です。
IBM®
Internet
Security
Systems ™
IPS(Proventia)の場合
攻撃
検知！
防御
攻撃が完了する前に防御！
5
© Copyright IBM Corporation 200８
IBM Internet Security Systems
IBM ISSの提唱するバーチャルパッチと他社の対応の違い
ソフトウェア上でみつかったセキュリティホール(ある操作をされると意図し
ソフトウェア上でみつかったセキュリティホール(ある操作をされると意図し
ない動作をされる)を修正するプログラムです
ない動作をされる)を修正するプログラムです
攻撃者は、そのセキュリティホールをつく為の、その操作を行います
攻撃者は、そのセキュリティホールをつく為の、その操作を行います
IBM ISSなら
そのセキュリティホールをつくその操作、
そのセキュリティホールをつくその操作、
“振る舞い”を検出します。操作後に送られ
“振る舞い”を検出します。操作後に送られ
る実行ファイルの違い(亜種)には影響され
る実行ファイルの違い(亜種)には影響され
ません。
ません。
操作で共通性のあるISS製品は
操作で共通性のあるISS製品は
まさにバーチャルパッチです。
まさにバーチャルパッチです。
6
他社の場合
他社では操作後に送られる実行ファイル
他社では操作後に送られる実行ファイル
毎でその都度の対応に迫られます。
毎でその都度の対応に迫られます。
例としてアンチウィルスベンダーの場合は
例としてアンチウィルスベンダーの場合は
“駆除”を目的とする為、検体がないと(世
“駆除”を目的とする為、検体がないと(世
の中に拡散しないと)駆除するための情報
の中に拡散しないと)駆除するための情報
が不明な為、対応が遅れます。
が不明な為、対応が遅れます。
© Copyright IBM Corporation 200８
IBM Internet Security Systems
バーチャルパッチを実現する、X-Force®の実績
事前防御を実現するバーチャルパッチを支える技術
世界で公表された高危険度の脆弱性の多くを発見、報告した実績

IBM ISSの一組織である、X-Forceは民間組織で世界最大規模のセキュリティ専門機関

活動内容
-
-
研究活動(Research)
•
脆弱性研究の活動（コア）
•
他のセキュリティ機関、学術機関、ベンダー等の情報収集にあたるフィールド調査活動
•
X-Force DataBase(XFDB)へのナレッジ蓄積
開発(Development)
•
-
7
ISSプロダクトへのXPUの提供
教育（Education,PR)
© Copyright IBM Corporation 200８
IBM Internet Security Systems
攻撃種別によるAntiVirusとIPSとの比較
ウィルスへの対応
AntiVirus
IPS
8
ワームへの対応
ボットへの対応
(脆弱点対応)
(脆弱点対応)
○
△
-
(ゲートウェイでもデスクトップの対
応でも可)
(亜種毎でのパターンアップデートが
必要。0-day攻撃に対応できない)
△
○
○
(パターンファイルは無いが、傾向を
知るシグネチャなどがあり、感染状況
を確認するなどの対応は可能)
(亜種毎でのパターンアップデートは
不要。0-day攻撃に対応可能)
(亜種毎でのパターンアップデートは不
要。0-day攻撃に対応可能)
バーチャルパッチ
バーチャルパッチ
(検体を得難い為対応が難しい)
© Copyright IBM Corporation 200８
IBM Internet Security Systems
本資料に関してのお問い合わせ先
日本アイ・ビー・エム株式会社
ITS事業 ISS事業部
パートナーセールス部
TEL
： 03-5740-4060
E-Mail ： [email protected]
URL
：http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874
※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。
©Copyright IBM Japan, Ltd. 2008
日本アイ・ビー・エム株式会社
Produced in Japan Jun 2008 All Rights Reserved
●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。
●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ
ん。効果はお客様の環境その他の要因によって異なります。
●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。
IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。
Microsoftは、Microsoft Corporationの米国およびその他の国における商標。
Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標。
9
© Copyright IBM Corporation 200８

Download Report