外部からの不正アクセス対策として、最初に導入するのがファイアウォールだ。しかしファイアウォールを導入しただけでは対策は十分とは言えない。ファイアウォールは、IPアドレスとポート、プロトコルをフィルターすることで、許可した通信以外を遮断する仕組みである。つまり、ファイアウォールでは通信の内容まではチェックできない。
では、そういった脅威にはどう対応すればいいか? そこで登場するのが、IDS/IPS(侵入検知・防御システム)だ。ネットワークのトラフィックやパケットを解析し不正アクセスとして検知したり、さらに遮断したりすることができる。IDS(Intrusion Detection System:侵入検知システム)はアクセスを検知し、管理者に通知をする機能を持つ。一方、IPS(Intrusion Prevention System/侵入防御システム)は、IDSの機能に加え防御機能も備えている。
かつては外部からの不正アクセスを防御する役割はファイアウォールのみであったが、ファイアウォールで防ぐことができない攻撃が増加した。そこで、これらの不正アクセスへの対策として登場したのがIDSである。また、検知だけでは対策に時間がかかるというIDSの課題を解決するために登場したのが、検知した不正アクセスを自動的に遮断するIPSだ。さらに、Webアプリケーションの脆弱性を悪用する攻撃に特化した防御システムがWAF(Web Application Firewall)だ(表1)。
システム | 主な守備範囲※ | 防御できる攻撃の例 |
---|---|---|
WAF | Webアプリケーション ミドルウエア | SQLインジェクション クロスサイト・スクリプティング OSコマンドインジェクション |
IDS/IPS | ミドルウエア OS ネットワーク | DoS攻撃 DDoS攻撃 SYNフラッド攻撃 |
ファイアウォール | ネットワーク | ポートスキャン |
まずファイアウォールが許可された通信のみを通過させる。そして、通過した通信が不正なものでないかどうかを IDS/IPSがチェック、不正アクセスであれば通知・遮断する。さらにWebアプリケーションへの攻撃の場合はWAFがブロックするとイメージすればよいだろう。