技術者が紹介するテクノロジー

WebARENAにおけるUTM装置を使ったIPS運用について

私はデータセンタ事業部サーバープラットフォーム担当に所属し、WebARENAのホスティングサービスの開発に携わっています。近年、個人・企業問わずサイバー攻撃による被害が深刻な問題になっています。そのような状況の中でホスティング事業者としてお客さまのサーバーを提供している、私たちWebARENA開発チームが安全なサーバーを提供するため取り組んでいる、不正アクセスへの対策について紹介します。具体的にはUTMと呼ばれる機器を導入と、その機器の中のIPSと呼ばれる機能について紹介します。

近年のサイバー攻撃の現状

我々の生活はインターネットなくしては成り立たないものとなっています。インターネット上ではメール、Webサイト、SNS、動画配信などのさまざまなサービスが提供されており、プライベートだけでなく、仕事でも利用する機会が増えてきました。これらのサービスを提供するサーバーはインターネット上にあるため、誰でもアクセス可能である反面、悪意を持つユーザーによる不正アクセスやウィルス感染といった、さまざまな脅威に直面しています。ここ最近も、FacebookやTwitterをターゲットとした攻撃による情報流出や、遠隔操作型ウィルスによる事件などが起きています。以前と比べると攻撃手法やウィルスなどの種類は多様化しており、頻度の面でも確実に上昇してきているのが下図からも分かると思います。そして、この傾向は今後も続くと考えられます。よって、サーバーを利用してインターネット上でサービスを提供したり、利用したりする企業にとって、これらの脅威への対策を考えることが非常に重要なことになってきました。

UTMの登場

攻撃手法やウィルスなどの脅威の多様化・高度化に対して、セキュリティ機能も発達してきています。不正アクセスに対してはルータフィルター、ファイアウォール、IDS(不正侵入検知)、IPS(不正侵入防御)といった機能が生み出され、ウィルスやマルウェアなどに対してはウィルス対策ソフトが生み出されました。しかし、全ての脅威に対して対策を行おうとすると、管理すべき機器やソフトが増えてしまい、セキュリティ管理者にとって管理は容易なものではありません。そこで登場したのがUTM(統合脅威管理)と呼ばれるファイアウォールをベースとした複数のセキュリティ機能を統合した機能です。セキュリティ機能を集中して管理することで、セキュリティ管理者の負担を軽減させることが出来ます。

IDS/IPSとは何か?ファイアウォールとの違い

UTMではさまざまなセキュリティ機能が実装されていることは前述しました。その中でも現在WebARENAで導入を進めているのがIPSと呼ばれる機能です。IPSはIDSという機能をベースとしており、トラフィックのパターンを元に攻撃を検知する機能です。IDSはあくまで『検知』のみを行う機能なので、実際に攻撃を遮断するのはシステム管理者の役目になります。IDSを発展させたものが、IPSなります。IPSは攻撃『遮断』の機能を拡張したものです。IPSを導入することで攻撃を検知した際に自動的に攻撃の遮断を行うことが出来ます。IDS/IPSはファイアウォールと組み合わせることで、これまでファイアウォールで防ぐことが出来なかった攻撃を防ぐことが可能になり、不正アクセスに対する高度なセキュリティを提供できるようになります。
ここで上述した『ファイアウォールで防ぐことが出来ない攻撃』とはどんなものかを説明します。ファイアウォールでは基本的に全ての通信を拒否した上で、必要に応じて許可したい通信を送信元、宛先、サービス(ポート)などで指定して、通信を許可します。ファイアウォールは送信元、宛先、サービスなどが既知であった場合は、大きな効果を発揮します。しかし、Webサーバーのように不特定多数に対してアクセスを許可したい場合には、効果が半減してします。
例えば、Webサーバーに対して、日本国内の送信元からのみ許可&HTTP以外のアクセスを拒否しているファイアウォールを設定しているとします。この時、国外からのアクセスとポート80番以外のアクセスは拒否されます。しかし、国内の一般ユーザーがWeb閲覧するのと同じように悪意のあるユーザーが国内から攻撃をしてきた場合、ファイアウォールでは許可されている通信のためサーバーが攻撃されてしまいます。

IPSの仕組み

IPSではこのような攻撃を防御することが可能になります。IPSでは通信の『パターン』によって攻撃を防御しています。実際に来た通信とパターンファイルを比較し、どの程度マッチするかで攻撃を検知するのです。検知の方法としては2種類あり、攻撃パターンが書かれたファイルと比較するものと、正常通信パターンが定義されたファイルと比較するものがあります。前者はシグネチャ型と呼ばれ、パターンと一致した場合に攻撃と判断します。一方、後者はアノマリ型と呼ばれ、パターンを外れたものを攻撃と判断します。WebARENAで導入を進めているIPSでは、シグネチャ型とアノマリ型を混成した方法によって検知を行っています。

UTMにおけるIPS運用

IPSを導入することによる一番のメリットは、攻撃対応まで時間の短縮です。従来のようにファイアウォール単体の運用では、ファイアウォールを通過した攻撃が発生した場合、システム管理者が攻撃を防御するポリシーを設定する必要があるので、攻撃を遮断するまでにどうしても時間差が生じてしまいますが、IPSでは攻撃検知した時点で、自動的に遮断するため攻撃への対応までの時間が大幅に短縮されます。攻撃対応までの時間差がなくなるということは、不正アクセスによる被害のリスクの低減になります。
このようなメリットがある一方で、UTMを用いたIPS運用において注意しなければならない点もいくつかあります。
まず、1つ目が誤検知です。攻撃パターンはあくまで統計情報なので、必ず例外というものが存在するため、誤検知が生じるリスクがあります。誤検知には悪意のあるもしくは不正なアクセスを検知しない(False Negative)と、正常な通信であるにも関わらず通信がブロックされてしまう(False Positive)が存在します。ホスティング業者から見た時に問題となるのはFalse Positiveです。つまり、お客さまの通信が正常にも関わらず遮断されてしまうことになるので大問題です。ホスティング業者としては誤検知の問題には慎重にならざるを得ません。
2つ目はシグネチャのメンテナンスです。IPSを使った不正アクセス防御においてはシグネチャが肝になります。せっかくのIPSも適切なシグネチャが設定されていない、シグネチャが更新されていない、などのメンテナンスを怠っていると役に立ちません。適切なシグネチャの選択と新しい種類の攻撃に備えてシグネチャを更新し、最新Verを保っておくことが大切です。WebARENAにおけるIPS運用においては、シグネチャの更新の有無を毎日チェックしています。
3つ目は構成についてです。UTMではセキュリティ機能を集中していることで、負荷が高くなる傾向にあることには注意しなければなりません。特にIPSはUTMの機能の中でも負荷が比較的大きい機能となります。導入の際には配下に置かれるサーバーの収容数やトラフィック量、シグネチャ選択、機能の選別を行い、負荷とセキュリティ充実度のバランスを取ることが重要です。

まとめ

今回は、インターネット上の新しい脅威に対してお客さまに安全にご利用になれるホスティングサービスを目指して、我々WebARENA開発チームが導入に取り組んでいるUTMやIPSといった新しいセキュリティ技術を紹介しました。今後もお客さまに安全に使って頂けるホスティングサービスを目指して取り組んでいきます!

  1. WebARENA
  2. WebARENA SuiteX
  3. WebARENA VPS ハイスペック
  4. WebARENA VPS エントリー
  5. WebARENA VPS クラウド
page top