企業・家庭を問わず、一般的なネットワーク環境をセキュリティの脅威から守る方法として、まず思いつくのは「ファイアウォール」です。
しかし、昨今の多様化する脅威に対してはファイアウォールだけでは守りきれないのが現状です。
だからといってファイアウォールがいらないのではなく、通信レイヤーに応じた対策を組み合わせることで、しっかりとネットワーク環境を守ることができるようになるのです。
ここでは、ネットワークの視点からファイアウォールの簡単な仕組み、ファイアウォールで防げること・防げないこと、防げない攻撃への対策方法について、ざっくりとまとめてみたいと思います。
目次
ファイアウォールとは
ファイアウォールは、外部のネットワーク(インターネットなどの信頼できないネットワーク)と内部のネットワーク(社内ネットワークなどの信頼できるネットワーク)の間で、出入りするデータを決められたルールをもとに交通整理してくれる装置、または機能のことを言います。
ファイアウォールで許可されたデータは、外部から内部(または内部から外部)のネットワークへ入ることができ、許可されていないデータは遮断されるというのが、基本的な仕組みです。
ファイアウォールで防げない攻撃とは
ファイアウォールが通信の許可・拒否を判断するのは、パケットヘッダー(送信元アドレス、送信先アドレス、ポート番号、プロコトルなどの情報が格納されている)と呼ばれるデータの一部分です。
そのため、パケットヘッダーの情報さえファイアウォールのルールをクリアしていれば、それ以外の部分に不正なデータが入っていても通信は許可されてしまいます。
たとえば、これから紹介する「ソフトウェアのぜい弱性を狙った攻撃」「Webアプリケーションのぜい弱性を狙った攻撃」などはファイアウォールでは防ぐことはできません。
そのため、ファイアウォールに加えてこれらの脅威に対してそれぞれ対策する必要があるのです。
ソフトウェアのぜい弱性を狙った攻撃への対策
パソコンやサーバーでは、OS・アプリケーションなどのさまざまなソフトウェアが動作していますが、それらのソフトウェアのほとんどは、セキュリティ的なぜい弱性(プログラムの不具合や設計上のミスにより発生した情報セキュリティ上の欠陥)を抱えています。
ソフトウェアのぜい弱性を悪用されないためには、パソコンやサーバー側ではソフトウェアを常に最新の状態に保つことが重要で、ネットワーク側での対策方法としては「IPS(Intrusion Prevention System)」があります。
IPS(Intrusion Prevention System)とは
IPSは、日本語でいうと「不正侵入防止装置」で、不正なデータを検知・遮断する装置、または機能のことを言います。
IPSは、ファイアウォールと同じように外部のネットワーク(インターネットなどの信頼できないネットワーク)と内部のネットワーク(社内ネットワークなどの信頼できるネットワーク)の間に設置して、出入りするデータから不正なデータを検知・遮断します。
IPSでは、おもに以下の二つの方式で不正なデータを検知・遮断します。
シグネチャ検知
シグネチャ検知は、既知の攻撃パターンを登録したデータベースをもとに、通信データからパターンに一致するデータを検知する方法です。
アノーマリ検知
シグネチャ検知は、未知の攻撃パターンを見過ごしてしまう場合があることから、それを補う検知方法として「アノーマリ検知」があります。
アノーマリ検知は、通常(ノーマル)の状態を覚えておき、それと大きく異なる状態になったときに異常とみなす検知方法です。たとえば,通信データ量にしきい値を設定しておき、それを超えた通信量があった場合は異常とみなすなどです。
Webアプリケーションのぜい弱性を狙った攻撃への対策
最近では、企業・個人を問わずWebサイトを公開している方も多いと思います。それにともないWebサイトへの攻撃が増えてきています。Webサイトへの攻撃の場合、攻撃対象はWebサイトで使用されるWebアプリケーションのぜい弱性です。
サーバー側の対策としては、ソフトウェアを常に最新の状態に保つことでWebアプリケーションのぜい弱性を修正することが重要で、ネットワーク側での対策としては「WAF(Web Application Firewall)」があります。
WAF(Web Application Firewall)とは
WAFは、名前のとおりWebアプリケーションに特化したファイアウォールです。
通常は、Webサーバーとインターネットの間に設置して、出入りするHTTP/HTTPS通信データから不正なデータを検知・遮断し、検出方式としては、IPSと同様のシグネチャによる検出がメインとなります。
ぜい弱性を悪用した攻撃を防ぐという意味では、WAFとIPSは似ている点があります。たとえば、Webアプリケーションへの攻撃として有名な「SQLインジェクション」や「クロスサイトスクリプティング」などは、IPSでも検知することができます。
ですが、IPSでの検出精度はWAFに比べて低いと言われています。
それは、IPSはサーバーやネットワークへの侵入をオールラウンダー的に検出する装置のため、Webアプリケーションのぜい弱性を狙うような特化した攻撃の検出には不向きという点があります。また、IPSは基本的に暗号化された通信データを復号化して調べることができません。
そのため、Webアプリケーションに特化した防御装置であるWAFが必要になるのです。
あとがき
最近では、ネットワーク環境のセキュリティ対策製品やソリューションは、これらの機能をすべて搭載したオールインワンな製品も珍しくありません。