情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を引用しながら、試験に出る基礎知識を体系的かつ詳細に整理します。

WAF

06.2 WAF

1.WAF

(1)WAF(Web Application Firewall)とは
WAFとは、Web Application Firewallという言葉通り、Webアプリ用のファイアウォールである。通常のファイアウォールでは、レイヤ4までのヘッダのチェックがほとんどで、IPアドレスやポート番号でのアクセス制御を行っていた。よって、悪意のある攻撃であっても、80番のWebアクセスであればすべて通過させてしまう。
これにたいし、WAFはレイヤ4以上、つまりヘッダだけでなくデータの中身もチェックする。これにより、SQLインジェクションやクロスサイトスクリプティングなどをも防御することができる。まさしく、Webアプリ用のファイアウォールである。
情報セキュリティスペシャリスト試験を目指す女性SE



でも、IPSがあればいいのでは?

 最近はWebサーバに特化した高度な攻撃が増えています。SQLインジェクションやクロスサイトスクリプティングなどがその代表ですが、IPSでは止められないものがたくさんあるのです。
waf_情報セキュリティスペシャリスト試験

また、WAFに関して過去問(H23AP秋午前問40)では、「クライアントとWebサーバの間において、クライアントがWebサーバに送信するデータを検査して、SQLインジェクションなどの攻撃を遮断するためのもの」と述べられています。

(2)WAFのデメリット
 デメリットは、データの中身もチェックするので、スループットが低下すること、SSL通信の検査は工夫がいること、ネットワークのインライン上に置くのでWAFがボトルネックになる可能性があること、故障ポイントが増えることなどがあります。

(3)WAFの機能
 ❶WAFの機能
 WAFの製品としては、ImpervaやF5、Citrixなどがある。負荷分散装置のオプション機能として実現しているものもある。
同じWAFといっても、製品によってその充実度は違うであろう。
構成としては、インラインで入れられる製品がいいかもしれない。フェールオープン機能があれば、WAFの障害時でも、システム全体としての停止がなくなる。まあ、冗長化するのが理想ではあるが。
また、HTTPSのSSL通信であれば、暗号化されているため、セキュリティチェックができないという疑問もわくだろう。それはその通りで、WAFでSSLを終端する場合が多いだろう。これは情報処理安全確保支援士試験の過去問でも問われた。(H22秋SC午後1)
H22SC秋午後Ⅰ問3には、「Q氏が提案したWAFの主な機能」として次の表がある。

機能の名称              機能の概要
シグネチャによる通信検査機能 HTTPによる通信をシグネチャと比較し、一致した場合には攻撃として検知する。シグネチャには、脆弱性を悪用する攻撃に含まれる可能性の高い文字列が定義されている。シグネチャの更新情報は、WAFの開発元から定期的に配信される。シグネチャごとに有効化、無効化の選択ができ、有効化したシグネチャに対しては、検知時に通信を遮断するか、遮断は行わず通知だけを行うかを設定できる。独自のシグネチャも作成が可能である。
クッキーの暗号化機能 Webアプリケーションがブラウザに対してクッキーを発行した際、クッキーの値を暗号化して引き渡す。ブラウザからクッキーを受信した際、値を復号して、Webアプリケーションに引き渡す。
SSLアクセラレーション機能 SSL通信の暗号化と復号を行う。
負荷分散機能 販売システムで利用中のLBと同等性能の負荷分散機能を有する。

 ❷WAFの動作
 一般的には以下の3つです。(H27秋SC午後Ⅰ問1より)
・遮断:通信を遮断し,ログに記録する。
・検知:通信を通過させ,ログに記録する。
・許可:通信を通過させ,ログに記録しない。

企業の公開サーバは、今や顧客との重要な接点です。誤検知によって、ビジネスチャンスの損失が無いように、WAFの動作は「遮断」の前に、一定期間は「検知」にして誤検知が無いことを確認するのが望まれます。(H27秋SC午後Ⅰ問1より)

(4)WAFのブラックリストとホワイトリスト
情報処理安全確保支援士試験の過去問を解いてみましょう。この問題を解くことで、WAFの検知の仕組みを再確認することができることでしょう。

過去問(H22秋SC午前2)
問16 WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち、適切なものはどれか。

ア ブラックリストは、脆弱性のあるサイトのIPアドレスを登録したものであり、該当する通信を遮断する。
イ ブラックリストは、問題のある通信データパターンを定義したものであり、該当する通信を遮断するか又は無害化する。
ウ ホワイトリストは、脆弱性のないサイトのFQDNを登録したものであり、該当する通信を遮断する。
エ ホワイトリストは、問題のある送信データをどのように無害化するかを定義したものであり、該当するデータを無害化する。






この問題も、正解の選択肢だけでなく、なぜ他がダメなのかを丁寧に確認したい。

この問題は、WAFのブラックリスト、ホワイトリストに特化した内容です。URLフィルタやファイアウォールのIPアドレスベースでのブラックリストなど、他の機能のものとは区別して考える必要があります。

では、順に見て行きましょう。
アは不正解です。WAFの場合、FWやIPSでは防げない攻撃を検知します。IPアドレスでの単純なブラックリストではありません。
イは正解です。WAFの場合、データの中身をチェックします。
ウは不正解です。イが正解とありますように、FQDNレベルで制御するのではなく、データの中身を見ます。FQDNも不正なサイトの判断基準の一つかもしれませんが、それが全てではありません。
エは不正解です。WAFのホワイトリストでは、無害化するかの定義をしていません。単純に、ホワイトリストで記載された通信は、許可されます。

【正解】

(5)過去問(H22春FE午前)を解いてみましょう

過去問(H22春FE午前)
問44 WAF(Web Application Firewall)を利用する目的はどれか。

ア Webサーバ及びアプリケーションに起因する脆弱性への攻撃を遮断する。
イ Webサーバ内でワームの侵入を検知し、ワームの自動駆除を行う。
ウ Webサーバのコンテンツ開発の結合テスト時にアプリケーションの脆弱性や不整合を検知する。
エ Webサーバのセキュリティホールを発見し、OSのセキュリティパッチを適用する。






FEの問題はわりと素直な問題なので、解きやすいですね。
正解はアです。

(6)誤検知と見逃し
 IDSやIPS、およびWAFは,誤検知および見逃しがあります。
❶フォールスポジティブ
正常な通信を誤って異常と検知してしまうフォールスポジティブ(誤検知)が発生します。
❷フォールスネガティブ
逆に,異常な通信を検知できずに見逃してしまうフォールスネガティブ(見逃し)もあります。

たとえば,パスワードクラックを検知するために,1分間のパスワード入力が10回という閾値(しきいち)を設定したとします。正常な利用者が,本当にパスワードを間違えて1分間に10回以上入力すると,異常として誤検知をしてしまいます。逆に,攻撃者が1分間に10回以内のログイン攻撃をすると,この攻撃を検知できません。つまり,見逃しが発生します。

ポジティブとネガティブの言葉ですが,誤検知は侵入されていなかったので,前向きに考えてポジティブといえます。一方,見逃しは,侵入されたということなので,否定的にネガティブと言わざるを得ません。

よって、WAFを適用する際には、誤検知や見逃しがあることを考慮すべきである。

では、過去問(H27秋SC午後1問1)を2問解いてみよう。

過去問(H27秋SC午後1問1)
Q1.WAFを適用する前に、動作検証を実施する。具体的に何を検証するか。






A.①脆弱性を突く攻撃を防げること
 ②システム利用のための正常な通信が許可されること

過去問(H27秋SC午後1問1)
Q2.WAFのルールの[動作]に“検知”を指定し,一定期間運用することにはどのような利点があるか。






A.販売機会損失など,ビジネスへの影響を与えずに誤検知の検証ができる。

2.クラウドWAFの導入

 WAFには、WAF製品を購入して企業に設置するオンプレミス型と、製品を持たないクラウド型があります。
製品を持たなくていいという利点から、クラウド型を検討する会社も増えているようです。
では、クラウドWAFの仕組みを解説します。

(1)一般的なWEBサーバへのアクセス
素材3_11_クラウドWAFの導入
このように、①DNSにサーバのIPアドレスを問い合わせをし、③A社のWebサーバにアクセスします。

(2)クラウドWAFの場合
素材3_12_クラウドWAFの導入
クラウドWAFを導入する場合は、DNSの設定をクラウド事業者に向けます。
①DNSの問合せ
②本来のサーバではなく、クラウド事業者のWAF(203.0.113.1)を回答します。
③PCはWebサーバだと信じていますが、実はWAFに接続しています。
④クラウド事業者のWAFにてセキュリティチェックをします。
⑤本当のA社のサーバに転送します。

以下の情報処理安全確保支援士試験の過去問(H28秋SC午後Ⅱ問2)では、両者の違いを含み、WAF全般に関する良問ですので、紹介します。上記の流れに関しても、設問があります。

過去問(H28秋SC午後Ⅱ問2)
〔WAFによる脆弱性対策〕
 Y脆弱性への対応指示に対して,β製品本部のVチーム員からは,β製品本部機器は,パッチの適用作業に1か月が必要なので,代替策を検討する必要があるとの報告を受けた。Vチームでは,シグネチャによる[ b ]という手法で攻撃を検知できるWebアプリケーションファイアウォール(WAF)が代替策になるかどうか,セキュリテイベンダのG氏に相談することにした。
 G氏によれば,  WAFによる対応は,サーバヘのパッチ適用に比べて, ⑤対策を実施するまでの期間が短いといわれており,  Y脆弱性への対応も既に可能になっているとのことであった。そこで, Q主任は,WAFの導入について,導入形態が異なる表1のような2案を作成した。
a
 β製品本部のY脆弱性がある公開Webサーバには,新製品の発表時などに,購入希望者からのアクセスが通常時の100倍程度まで一時的に増大するものがあり,かつ,次の新製品発表が3週間後に予定されている。このため,Q主任は,案2を選び,⑥クラウト型のWAFを1週間後に導入し,β製品本部でのY脆弱性に対する代替策とする案をP部長に提案した。

設問3 〔WAFによる脆弱性対策〕について. (1)~(4)に答えよ。
(1)本文中の[ b ]に入れるWAFの攻撃検知手法を, 15字以内で答えよ。
(2)本文中の下線⑤について,期間が短い理由を検証作業の観点から40字以内で述べよ。
(3)表1中の[ c ],[ d ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
 解答群
 ア bash    イ CNAME      ウ DNS    エ HINFO
 オ MX    カ 公開Web   キ 社内Web  ク メール
(4)本文中の下線⑥について,Q主任がオンプレミス型ではなくグラウト型を選ぶ根拠となったグラウト型の利点を, 50字以内で述べよ。






設問を順に見ていきましょう。

(1)正解は「パターンマッチング」です。ウイルス対策ソフトのシグネチャによるパターンマッチングと同じです。
(2)正解は、「WAFの場合、検証作業の試験項目がパッチ適用のときよりも少なくて済むから」
(3)上で解説した図を参照してください。
   正解:c ウ d イ
(4)正解は「通信量の上限の切替えでWAFの能力変更が随時可能、かつ作業工数やコストの観点から無駄が少ない。」です。問題文にある「購入希望者からのアクセスが通常時の100倍程度まで一時的に増大するものがあり」など、問題文の記述を踏まえて回答を組み立てましょう。

■別の情報処理安全確保支援士試験の設問(H30秋SC午後Ⅰ問3)
この問題では、WAFにはソフトウェア型,ハードウェア型,クラウド型の3種類があるとして、それぞれに関して特徴などを解説しています。

過去問(H30秋SC午後Ⅰ問3)
Kリーダ: 分かった。次に, WAFの選定方法について,確認しておこう。
S君  : WAFには,大きく分けると,ソフトウェア型,ハードウェア型,クラウド型の3種類があります。いずれもモニタリングモードを実現する機能と攻撃とみなされる通信を遮断する機能があります。さらに,④暗号通信に関する機能が用意されているものがあります。
Kリーダ: なるほど。導入はどのようにするのかな。
S君  : ソフトウェア型WAFの場合は,Eサーバに導入します。ハードウェア型WAFの場合は,図1中のDMZ内のL2SWとEサーバとの間に設置します。クラウド型WAFの場合は,サービス事業者がインターネット上で運用しているものを利用します。クラウド型WAFを利用する場合は,幾つか設定変更が必要です。例えば,図1中の[ c ]の設定を変更して,Eサーバへのアクセス経路をクラウド型WAF経由に変える必要があります。クラウド型WAFのIPアドレスが変更された場合でも[ b ]の設定に影響が出ないように,[ d ]レコードを定義して,そのレコードにEサーバの別名としてクラウド型WAFサービスの事業者が指定するFQDNを記述することが推奨されています。
Kリーダ: なるほど。当社にはどの種類が適しているか調査してくれ。






解答例
(2)インターネットからのHTTPS通信を復号する機能
(3)c 外部DNSサーバ   d CNAME

3.WAFでは、SSL通信をどう対処するか

過去問(H22秋SC午後1問3)
WAFの導入の際には, Webサーバヘの負荷分散にWAFの負荷分散機能を利用することで,利用中のLBをWAFで置き換える方針とした。また,WAFのSSLアクセラレーション機能を利用し、⑥ブラウザからのSSL通信は、WAFで終端されることにした

設問4 本文中の下線⑥について,この措置を行う理由を55字以内で述べよ。






WAFの設置場所に関する問題である。
後半に書いた図を照らし合わせながら見ていただきたい。
通常は、PC→WAF→Webサーバという並びで構成される。
WAFが無い場合、PCとWebサーバ間でSSL通信をする。ところが、SSLによる暗号化はPCとWAF間にとどめることが多い。これはなぜかという問題である。
d18680c9


うーん。
難しいですね。
ということは、PCとWebサーバ間でSSL通信をすると何か問題があるということでしょうか。

 知っていれば簡単な問題だ。httpsで暗号化されていると、通信をチェックできないからだ。
試験センターの解答例は、「WebサーバまでSSLで暗号化したままだと、WAFがトラフィックの内容を検査してシグネチャと照合できないため」である。
素材3_6_WAFでは、SSL通信をどう対処するか

以下の情報処理安全確保支援士試験の過去問(H25SC春午前2問4)も見てみよう。

過去問(H25SC春午前2問4)
問4 図のような構成と通信サービスのシステムにおいて, Webアプリケーションの脆弱性対策としてネットワークのパケットをキャプチャしてWAFによる検査を行うとき,WAFの設置場所として最も適切な箇所はどこか。ここで,WAFには通信を暗号化したり,復号したりする機能はないものとする。情報セキュリティスペシャリストwaf

ア a   イ b   ウ c   エ d






正解はcである。HTTPSの通信は暗号化されているので、WAFが効力を発揮できない。
最近のWAFのほとんどは、SSLを終端して復号化する機能を持っている。しかし、処理性能は高くない。やはり、専用のSSLアクセラレータ(多くはLBとの一体型)を入れるのがいいと思う。

UTMとIPS(IDS)

06.1 UTMとIPS

1.UTM(Unified Threat Management)とは

直訳すると「統合された(Unified)脅威(Threat)管理(Management)」という意味。
Firewall機器やIDS/IPS機器,SPAM対策機器、アンチウイルス対策機器などを個別に導入することは運用面でも費用面でも敷居が高い。そこで,それらの機能を1つの筐体に統合(Unified)した製品がUTM。
特に中小企業にとっては,魅力的な製品になっている。
929c854c


UTMってすごい!
一台で何でもやってしまうんですから。
では、SPAM対策機とかURLフィルタの装置はいらないですね。

 そうでもない。ファミリーレストランとラーメン専門店ではラーメンの質が違うのと同じで、専門製品にはかなわない。たとえば、SPAM対策機であれば、UTMはドメイン認証をしなかったり、パケットの中身解析をしないなど、機能はかなり落ちる。
だから、UTMを出しているメーカでも、SPAM対策機は別途売っていることもあるよ。

UTMが持つ機能は,過去問(H20年SU午後Ⅰ問1)で出題されているので紹介する。

表 UTMの機能

機能の名称 機能の概要
FW機能 アクセス制御ルールに基づいて,パケットの中継及び破棄を行う。
VPN機能 暗号技術を用いて,仮想的なプライベートネットワークを実現する。
侵入防止機能 シグネチャとのパターンマッチングに基づいて,不正アクセスを遮断する。
バッファオーバフロー攻撃遮断機能 入力パケット全体を検査し,バッファオーバフローに結びつくアクセスを遮断する。

(H20年SU午後Ⅰ問1より引用)

これ以外に,アンチスパム機能や,URLフィルタリング機能を持つものがある。

この問には設問があるので、紹介する。

過去問(H20年SU午後Ⅰ問1)
設問2 UTMの機能について,(1),(2)に答えよ。
 (1)侵入防御機能の効果を維持するために,UTM導入後の日常運用として実行すべき事項を, 25字以内で述べよ。
 (2) 既知の攻撃であっても、Web受注アプリへの攻撃を、このUTMだけで検知することはできない理由を,25字以内で述べよ。






設問2(1)の解答は、「シグネチャファイルを常に最新版に更新すること」。導入したら終わりではなく、日常運用業務が必要で、ネットワーク管理者には負担となる。
設問2(2)の解答は、「入力された文字列が暗号化されているから」。SSLによって暗号化されているWebサーバとの通信はデータをチェックすることができないからだ。

2.IDS,IPSとは? ~なぜファイアウォールではだめなのか

(1)IDS,IPSとは
 最近の情報処理安全確保支援士試験では出題が少なくなったテーマです。
IDS(Intrusion Detection System)は、言葉の通り、「侵入(Intrusion)」を「検知(Detection)」する「システム(System)です。
また、IPS(Intrusion Prevention System)も同じく言葉の通りで、「侵入(Intrusion)」を「防御(Prevention)」する「システム(System)です。
両者の違いは、検知(Detection)だけでなのか、検知したものを防御(Prevention)するかです。

ただ、実際の製品としては、防御までできるIPS製品がほとんどです。製品例としては、McAfee社のNSPやIBM社のIBM Security Network IPS(旧Proventia)、HP社のTippingPointなどがあります。

どちらも、従来のFWでは防げない高度な攻撃を検知、防御します。

※最近のネットワークスペシャリスト試験では、あまり問われていません。

(2)なぜファイアウォールでは防げないのか
情報セキュリティスペシャリスト試験を目指す女性SE


ファイアウォールで、外部からの攻撃は防げますよね。
それでもIPSは必要なのでしょうか?
良く分かっていないので、教えてください。

 きちんとしたセキュリティ対策のためには必要だ。
それは、ファイアウォールでは防げない攻撃があるからだ。
ファイアーウォールは,IPアドレス,プロトコル,ポート番号などのヘッダのみを確認し,データの中身を確認しない。
20231004223525

つまり、通常のWebアクセス(80や443)による通信であれば、すべて許可してしまう。そうなると、クロスサイトスクリプティングやバッファオーバフローなどの攻撃を防ぐことができない。
一方,IDSやIPSはデータの中身もチェックすることができる。

次の過去問を見てみよう。これをじっくり考えると、ファイアウォールでは防げない攻撃が分かる。

過去問(H23AP秋)
問41 パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく妨げるものはどれか。
ア 外部に公開していないサービスへのアクセス
イ サーバで動作するソフトウェアのセキュリティの脆弱性を突く攻撃
ウ 電子メールに添付されたファイルに含まれるマクロウィルスの侵入
エ 電子メール爆弾などのDos攻撃





同時に、ファイアウォールでなければ、何を導入すれば防げるかも同時に考えよう。
正解はアである。フィルタリングルールだけでは、イ~エの攻撃が防げない、そこで、IPSであたり、WAFの仕組みが必要になる。イはWAFやホスト型IPSが必要、ウはUTMによるウイルスチェックが必要であろう。エはIPSが必要。

3.IPSが無くても各サーバで対策すればいいですよね?

5



FWでは防げない攻撃があることは分かりました。
でも、IDSやIPSが無くても、サーバをきちんと要塞化すればいいのでは?
 それはそう。本当にその通りだ。その観点でいうと、FWも不要だ。
しかし、FWの利点は、セキュリティ管理の一元化ができることだ。
一方、IDS/IPSに関して、以下の情報処理安全確保支援士試験の過去問を見てみよう。

過去問(H19SV春午後1問2)
L氏 :IDS又はIPSを導入する必要性について,説明してください。
J主任:③FWのフィルタリングルールの設定だけでは,Webサーバに対するバッファオーバフロー攻撃などを防御できません。こうした攻撃への対策として,IDS又はIPSの導入や,サーバにセキュリティパッチを適用することが考えられます。しかし,御社では,セキュリティパッチ適用時のサーバの動作確認や,適用前のデータのバックアップ採取を行う必要があり,すぐにセキュリティパッチを適用することはできません。そこで,IDS又はIPSの導入をお勧めした次第です。

設問3
(3)本文中の下線③について,FWのパケットフィルタリングルールだけでは攻撃を防御できない理由を,30字以内で述べよ。






設問については、それほど難しくない。試験センターの解答例は以下だ。
「パケットのヘッダ情報だけで攻撃か否かを判断しているから」
「ペイロードの内容を見ていないから」

ここで着目してほしいのは、問題文にあるIDSやIPSの必要性である。
サーバのセキュリティパッチは毎月出る。しかし、セキュリティパッチを適用すると、システムが従来とは違う動きをしたり、アプリケーションが動かなくなるなどの危険が少なからずある。多くの企業では、パッチを自動更新しない設定にしている。そうすると、セキュリティホールが残ったままになるわけだから、IDS/IPSを設定しておくべきだ。

4.IDS,IPSの設置場所

(1)IPSの場合

 IPSの場合、パケットを防御(Prevention)するために、通信経路上(インライン)に設置することが一般的です。たとえば、防御したいWebサーバの前に設置します。
過去問(H27秋NW午後Ⅰ問3)をみてみましょう。以下のように、DMZに公開さられたサーバと、FWの間の通信経路上にIPSが設置されています。
IPS

(2)IDSの場合

 一方、IDSは検知するだけの仕組みなので、インラインに設置する必要はありません。パケットが届くネットワーク上にいれば、どこに設置してもいいでしょう。ただ、一般的には、防御したい装置の近くに設置します。よって、上記の図でも、DMZの近くに設置しています。
また、過去問(H27秋NW午後Ⅰ問3)では、設置構成に関する記載があるので、内容を確認しておきましょう。

設置構成に関する記載内容(H27秋NW午後Ⅰ問3)
 IDSは,監視対象のネットワークにあるSWの[ イ:ミラー ]ポートに接続し,IDS側のネットワークポートを[ ウ:プロミスキャス ]モードにすることで,IDS 以外を宛先とする通信も取り込むことができる。また,IDS側のネットワークポートに[ エ:IP ]アドレスを割り当てなければ,IDS自体がOSI基本参照モデルの第3 層レベルの攻撃を受けることを回避できる。

以下の問題を解いてみよう。

過去問(H23春AP午後問9)
IDS
試験運用を開始してすぐに,IDSから管理者あてに警告メールが大量に送られるようになった。警告メールが多いと,管理者が重要な警告を見落とすおそれがあることから,D社ではIDSの導入効果を維持したまま警告メールの件数を少なくするために,①IDSの設置位置を図1のβの位置に変更した。

設問3 IDSから管理者あてに送られる警告メールの大量発生後に,D社が実施した対策について,答えよ。
(1)本文中の下線①の対策について,警告メールが減少する理由を35字以内で述べよ。






db2fc28c


なるほど。分かりました。
この場合は、ファイアウォールで通信を絞ったあとにIDSを導入していますね。

 ファイアウォールでは、Webサーバ(80)やメール(25)などの公開サービス以外の通信をブロックします。もしαにIDSを設置すると、すべての攻撃が来ますから、莫大なログになります。
試験センターの解答例「監視対象がファイアウォールを通過したパケットに限定されるから」
とはいえ、FWへの攻撃を防ぐという意味では、αに置くことも選択肢の一つであることは理解しよう。
最近の場合は、FWに簡易なIPS機能があるから、その可能性は低いかもしれないが。

5.IDSの種類(NIDSとHIDS)

 IDSの種類には,ネットワーク上の通信を監視するネットワーク型IDS(NIDS:Network-Based IDS)とコンピュータ上での異常を監視するホスト型IDS(HIDS:Host-Based IDS)がある。

過去問では以下のように,NIDSとHIDSの内容が問われる。

過去問(H18NW午前問48)
問48 NIDSの目的はどれか。






解答:管理下のネットワーク内への不正侵入の試みを記録し,管理者に通知する。

もうひとつ。

過去問(H18SM午前問45)
問45 IDS(Intrusion Detection System)の特徴のうち,適切なものはどれか。






解答:ホスト型IDSでは,シグネチャとのパターンマッチングを失敗させるためのパケットが挿入された攻撃でも検知できる。

最近では、ここで紹介した言葉はそれほど登場しないが、情報処理安全確保支援士の過去問(R2SC午後1問3)では、N-IPS(Network-Based IPS)という言葉が登場した。「あれ?聞いたことない言葉だな」とオロオロしないために、フルスペルを含めて知っておくといいだろう。

6.不正侵入の検知方法と防御方法

(1)防御方法

IPSやIDSの中で、特にIPSの防御方法ではあるが、以下の2つのモードがある。 
❶検知モード
 検知してログを取得したりアラートを送信する。通信はブロックせずに許可する
❷遮断モード
 通信をブロックする。多くの場合はログを取得する。

※時間があれば、FortiGateの場合の設定画面をお見せします。余談ですが、FortiGateの場合、上記2つ以外に「隔離」という方法があり、攻撃を検知した通信の送信元IPアドレスを一定時間ブロックする。

(2)検知方法

 検知方法であるが、情報処理安全確保支援士試験の過去問(R2SC午後1問3)の言葉を一部参考にすると、以下の2つがある。
 ❶ホワイトリスト、ブラックリスト判定
  リストに登録した送信元IPアドレスで判断する。
 ❷脅威通信判定
  通信の内容を解析する。この解析にはシグネチャ型とアノマリ型がある。
  その方法に関しては,過去問(H19SV午後Ⅰ問2)に詳しく記載がある。

検知方法 シグネチャ型とアノマリ型の記載(H19SV午後Ⅰ問2より引用)
検知方法には,シグネチャ型とアノマリ型があり,シグネチャ型は,既知の攻撃パターンに基づく攻撃とマッチングすることによって攻撃を検知し,例えば,サーバの既知の脆弱性を突いた攻撃を防ぐことができます。一方,アノマリ型は,RFCのプロトコル仕様などと比較して異常なパケットや,トラフィックを分析して統計的に異常なパケットを攻撃として検知します。

アノマリ(anomaly)という言葉は「異常な」という意味で,normal(正常)の反対として考えてもらうと覚えやすいだろう。
7a536a8a

番犬で言うと、
シグネチャ型は,「悪い人の顔」を「サングラス」「マスク」など覚えさせて,その人を見たらほえます。
アノマリ型は,「普通の人よりキョロキョロする」「顔の露出が少ない」などの,統計的に異常な人を見たらほえるのですね。

■過去問(H22年NW午後Ⅰ問3)を見てみよう

過去問(H22年NW午後Ⅰ問3)
現在の構成では,  FWで通過が許可されているパケットを使った不正侵入は防御できないので,より高度な機能をもった侵入検知システム(以下, IDSという)が必要です。IDSには,監視対象のネットワークに設置するネットワーク型IDSと,監視対象のWebサーバなどにインストールする[ ア ]型IDSの2種類があります。また,侵入検知の仕組みとして,不正なパケットに関する一定のルールやパターンを使う[ イ ]型と,平常時のしきい値を超えるアクセスがあった場合に不正と見なすアノマリ型(異常検知型)の2種類があります。アノマリ型の場合,しきい値を高く設定したときだけでなく,①しきい値の設定が低すぎたときにも弊害が発生するので,注意が必要です。

設問1 空欄 ア、イに当てはまる字句を答えよ。
設問2 本文中の下線①について,発生する弊害を,40字以内で具体的に述べよ。






【解答例】
・設問1
[ ア ]:ホスト 、[ イ ]:シグネチャ
・設問2 
 しきい値とは境目となる値のことです。アクセス数がこの値を超えると不正アクセスとみなします。反対に,この値に達しなければ不正アクセスとしてみなされません。
 しきい値を高く設定すると,大量の不正アクセスがあっても不正アクセスを検出することができません。しきい値が高すぎて,しきい値に達しないからです。
逆に,しきい値が低すぎると,通常のアクセスであっても不正アクセスとして誤検出する恐れがあります。しきい値が低いため,通常のアクセスであってもしきい値に達してしまうからです。

 解答:不正な通信だけでなく適正な通信も異常として検知されてしまう。

7.フォールスポジティブ(誤検知)やフォールスネガティブ(見逃し)

 IDSやIPSにはフォールスポジティブ(誤検知)やフォールスネガティブ(見逃し)というエラーがある。
 (1)フォールスポジティブ
  正常な通信を誤って異常と検知してしまうこと
 (2)フォールスネガティブ
  異常な通信を検知できずに見逃してしまうこと
d18680c9



なかなか覚えられなくて…。逆に覚えたりしてしまいます。

 覚えるのではなく,理解するようにしよう。

誤検知は,取り越し苦労ではあるが,侵入されていなかったので,前向きに考えてポジティブといえる。一方,見逃しは,侵入されたということなので,否定的にネガティブと言わざるを得ない。病気でいうと,「ガンです」と告知されて,「すいません,間違えていました」と言われるのは,ポジティブに考えられる。一方,「健康です」と言われ,実は「ガンであと少しの命でした」というのはネガティブに考えざるを得ない。