外部からの不正アクセス対策として、最初に導入するのがファイアウォールだ。しかしファイアウォールを導入しただけでは対策は十分とは言えない。ファイアウォールは、IPアドレスとポート、プロトコルをフィルターすることで、許可した通信以外を遮断する仕組みである。つまり、ファイアウォールでは通信の内容まではチェックできない。

 では、そういった脅威にはどう対応すればいいか? そこで登場するのが、IDS/IPS(侵入検知・防御システム)だ。ネットワークのトラフィックやパケットを解析し不正アクセスとして検知したり、さらに遮断したりすることができる。IDS(Intrusion Detection System:侵入検知システム)はアクセスを検知し、管理者に通知をする機能を持つ。一方、IPS(Intrusion Prevention System/侵入防御システム)は、IDSの機能に加え防御機能も備えている。

 かつては外部からの不正アクセスを防御する役割はファイアウォールのみであったが、ファイアウォールで防ぐことができない攻撃が増加した。そこで、これらの不正アクセスへの対策として登場したのがIDSである。また、検知だけでは対策に時間がかかるというIDSの課題を解決するために登場したのが、検知した不正アクセスを自動的に遮断するIPSだ。さらに、Webアプリケーションの脆弱性を悪用する攻撃に特化した防御システムがWAF(Web Application Firewall)だ(表1)。

表1●ファイアウォール、IDS/IPS、WAFそれぞれの主な守備範囲と役割
システム主な守備範囲防御できる攻撃の例
WAFWebアプリケーション
ミドルウエア
SQLインジェクション
クロスサイト・スクリプティング
OSコマンドインジェクション
IDS/IPSミドルウエア
OS
ネットワーク
DoS攻撃
DDoS攻撃
SYNフラッド攻撃
ファイアウォールネットワークポートスキャン
※ システムごとに守備範囲がはっきり分かれているわけではなく、それぞれが補完的に働く。

 まずファイアウォールが許可された通信のみを通過させる。そして、通過した通信が不正なものでないかどうかを IDS/IPSがチェック、不正アクセスであれば通知・遮断する。さらにWebアプリケーションへの攻撃の場合はWAFがブロックするとイメージすればよいだろう。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。