このレッスンではサイバー攻撃対策として、
- IDS/IPS
- DMZ
について解説していきます。
IDS/IPS
「IDS」とは、システムやネットワークに、
外部からの不正アクセスを知らせるシステムです。
前回のレッスンで、ファイアウォールについて学習しましたね。
ファイアウォールは万能ではないため、
ファイアウォールをすり抜けてコンピュータに侵入されてしまう可能性があることを
解説しました。
ファイアウォールをすり抜けて不正アクセスされたり、
異常な通信があった場合に、
それを検知して知らせるシステムがIDSです。
IDSは、次の2つの不正アクセスを検知します。
不正検出(シグネチャ型)
これまで行われてきた不正アクセスの動作の特徴を、
あらかじめ登録しておきます。
そのリストと外部からのアクセスを照らし合わせ、
不正アクセスかどうかを検知します。
過去に経験した攻撃であれば検知できるため、
攻撃をブロックできます。
しかし、新しい攻撃については防御力は低くなってしまいます。
異常検出(アノマリ型)
「Anomaly」とは、異常や変則という意味です。
アノマリ型は正常パターンを定義し、
範囲から外れた変則的なやり取りを、全て異常とみなします。
例えば、社員が通常は、就業時間である9:00〜18:00にアクセスするシステムに、
夜中にアクセスがあればそれは通常のアクセスとは異なるため、
異常と検知します。
みなさんが使うメールサービスでも、
いつもはパソコンからログインしているのに、
たまにスマホからログインしたりすると、
メールでお知らせが来ますよね。
これもアノマリ検知を利用している例です。
普通とは異なるネットワークトラフィックを検知し、
不正アクセスとみなすので、
アノマリ型は未知の不正アクセスに対しても効果があります。
IDSはあくまでも不正アクセスを検知するだけで、防御はしません。
一方でIPSは、IDSに防御措置を行う機能を付け足したものです。
IDSが検知した不正アクセスを遮断するシステムで、
不正アクセスを検知したら通信を自動で遮断します。
一見するとIPSのほうがシステム的に優れているようにも思えますが、
不正アクセスがあった場合に自動で通信を遮断することが、
システムの運用上、適さないこともあります。
そのため、どちらにするかは会社の業務に支障が出ないよう、
用途に応じて導入することが望ましいと言えます。
DMZ
「DMZ」とは非武装地帯という意味ですが、
ITの分野ではネットワーク上の緩衝地帯のことを指し、
社内ネットワークとインターネットの間に設置されるセグメント(区域)のことを言います。
ファイアウォールの内側に設置され、
インターネットからの通信を、ファイアウォールを通過後に受信します。
組織を運営する上では、
Webサイト上での情報発信や社外とのやり取りなど、
インターネットへの接続は不可欠ですが、
インターネットは必ずしも安全ではありません。
社内ネットワークをインターネットに直接繋ぐことは、
セキュリティ上の問題があるため、間にDMZを設置して、
全ての通信をDMZで受けて社内ネットワークを保護するようにします。
DMZを設置した場合、
アクセスルールを適切に設定しなければなりません。
基本的には、インターネットに直接つなぐのはDMZのみにし、
社内ネットワークからインターネットには直接通信しないように
設定します。
そうすることで、DMZ内のサーバーが不正アクセスされたとしても、
社内ネットワークを守ることができるのです。
次のレッスンでも引き続き、
サイバー攻撃対策について学習を進めていきます。
