LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Taira0222

【Web】IDS・IPSとWAFの役割

Posted at

はじめに

こんにちは、アメリカで独学でエンジニアを目指しているものです。

現在Webについて勉強しているのですが、セキュリティについて少し学んでおりIDS・IPS・WAFという言葉が出てきたので、それについてまとめようと思い記事にしました。

1. IDS・IPSとは

1.1 IDS(Intrusion Detection System)

IDSは、ネットワークやホスト(サーバ/PC)へ不正アクセスや攻撃が行われていないかを**“検知”**するための仕組みです。たとえば以下のような機能を持ちます。

ショッピングサイトなどで、IPSの誤検知で遮断されてしまった場合、販売機会が損失するためIDSを採用する場合があります。

  • ネットワーク上のパケットを監視し、不正アクセスや攻撃を検知します。
  • 検知内容のログ化、警告の通知を行います。
  • 管理者に対して攻撃発生の可能性を示唆します。

1.2 IPS(Intrusion Prevention System)

IPSは、IDSが検知した不正なアクセスや攻撃に対して自動的に防御アクションを行うシステムです。

ネットバンキングのような攻撃を受けたときのリスクが非常に高いサイトではIPSが使用されることがあります。

  • 攻撃を検知した場合、対象の通信をブロックしたり、パケットを破棄したりします。
  • 事前に定義されたルールに従ってリアルタイムで対処が可能です。

違い:

  • IDSは「検知」に特化しており、実際の防御・遮断は別のシステムで行います。
  • IPSは検知と防御を同じシステムで行うため、より迅速に対処が可能です。

2. シグネチャー型とアノマリー型

IDSやIPSがどのようにして不正行為や攻撃を見つけるかについては、シグネチャー型アノマリー型の二つの手法が知られています。

2.1 シグネチャー型

**既知の攻撃パターンや特徴(シグネチャー)**をあらかじめデータベース化し、それとマッチする通信や挙動を検知して不正と判定します。SYNFlood攻撃のような特徴的な攻撃を検出できます。

  • メリット:
    • 既知の攻撃を高精度で検知できます。
  • デメリット:
    • 未知の攻撃には弱いです。
    • 定期的なシグネチャー更新が必要です。

2.2 アノマリー型

正常な通信や挙動のパターン(ベースライン)を学習し、そのベースラインから逸脱した行動を検知して不正と判断します。

アクセス数が急増するF5攻撃などを検出できます。

  • メリット:
    • 未知の攻撃でも、異常なふるまいとして検出できる可能性が高いです。
  • デメリット:
    • 誤検知(False Positive)が多くなる場合があります。

組み合わせの重要性

通常の運用では、シグネチャー型とアノマリー型を適度に組み合わせることで、既知・未知の攻撃双方に対応できる柔軟な防御体制が構築されます。

3. WAF(Web Application Firewall)とは

WAFとは、Webアプリケーションへの攻撃を検知・防御するファイアウォールです。HTTPやHTTPSなどのアプリケーション層の通信を分析し、Webサーバへの攻撃(SQLインジェクションやクロスサイトスクリプティングなど)をブロックすることを目的としています。

従来のファイアウォールやIPSとの違い

  • 従来のネットワークファイアウォールやIPSでは、OSI参照モデルの下位レイヤ(ネットワーク層やトランスポート層)を中心に監視します。
  • Webアプリケーション特有の攻撃(例: SQLインジェクション)には対応が不十分です。
  • WAFは、Webサーバへのリクエスト内容自体を精査し、不正なパターンが含まれていないかを検査します。

4. ネガティブセキュリティモデルとポジティブセキュリティモデル

WAFのセキュリティモデルとして、「ネガティブセキュリティモデル」「ポジティブセキュリティモデル」の2つがよく取り上げられます。

4.1 ネガティブセキュリティモデル

“許可されないもののみブロックする” アプローチ。SQLインジェクションやクロスサイトスクリプティングなどの既知の攻撃パターンをルール化しておき、それらに一致するリクエストのみをブロックします。また、WAF開発元が提供したルール(リスト)を利用することになります。

  • メリット:
    • 既知の攻撃に対して高い精度です。
    • ルールの更新や管理が比較的容易です。
  • デメリット:
    • 未知の攻撃パターンに弱いです。

4.2 ポジティブセキュリティモデル

“許可されたもののみ通す” アプローチ。アプリケーションが受け付けるリクエスト形式・パラメータ内容など正規の仕様を定義しておき、そこから外れるものをブロックします。

  • メリット:
    • 未知の攻撃にも対応しやすいです。
  • デメリット:
    • 正しく設定しないと誤検知が増えます。
    • 管理に手間がかかります。

ハイブリッド方式

多くのWAF製品は、ネガティブ・ポジティブ両方のモデルやハイブリッド方式をサポートしており、運用環境やアプリケーションの特徴に合わせて使い分けることが一般的です。

5. まとめ

  1. IDS(侵入検知) と IPS(侵入防止):

    • ネットワークレイヤでの不正アクセスに対して主に対応します。
    • 検知手法として、シグネチャー型(既知の攻撃に強い)とアノマリー型(未知の攻撃にも対応)があります。

  2. WAF(Web Application Firewall):

    • アプリケーション層の攻撃(例: SQLインジェクションやXSS)からWebサーバを守ります。
    • ネガティブセキュリティモデル(既知の攻撃をブロック)とポジティブセキュリティモデル(正規のリクエストのみ通す)の2つのアプローチがあります。
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?