サイバー攻撃が高度化・多様化する現代において、単一の「壁」だけでネットワークを守ることは不可能です。これまで解説してきた暗号技術や法制度が「データの正当性」を担保するものであったのに対し、今回紹介するWAF・IDS・IPSは、悪意ある通信を直接検知・遮断するための「実働部隊」です。
これら3つの技術は、名前が似ているため混同されがちですが、それぞれ「守備範囲」が明確に異なります。それぞれの役割を整理し、多層防御の重要性を紐解いていきましょう。
守備範囲の違い:どこを流れるパケットを見ているか
WAF、IDS、IPSを理解する最大のポイントは、OSI参照モデルにおける「どの階層」を監視しているかという点にあります。
WAF(Web Application Firewall)
その名の通り、Webアプリケーション(L7:アプリケーション層)への攻撃に特化した防御ツールです。
- 監視対象: HTTP/HTTPS通信の内容(リクエストのパラメータ、Cookie、フォームの入力値など)。
- 防ぐ攻撃: 「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」など、アプリの脆弱性を突く攻撃。
IDS(Intrusion Detection System:侵入検知システム)
ネットワークやサーバーへの不正侵入を「検知」し、管理者に通知するシステムです。
- 監視対象: ネットワークを流れるパケット全体、またはOS・ミドルウェアのログ。
- 役割: 異常を知らせる「監視カメラ」のような存在。
IPS(Intrusion Prevention System:侵入防止システム)
IDSの機能に加え、不正な通信を「リアルタイムで遮断」する機能を備えたシステムです。
- 監視対象: IDSと同様(L3:ネットワーク層〜L5:セッション層付近が中心)。
- 役割: 異常を見つけて即座に止める「ボディーガード」のような存在。
IDSとIPSの決定的な違い
IDSとIPSの最大の違いは、不正を見つけた後の「アクション」にあります。
- IDS(検知のみ): 通信のコピーを傍受して分析します。不正を見つけても通信自体は止めず、「アラート」を飛ばします。誤検知によって正常な通信を止めてしまうリスク(フォールスポジティブ)を避け、まず状況を把握したい環境に適しています。
- IPS(遮断まで): 通信経路上に直接配置(インライン配置)されます。不正パケットを見つけた瞬間、その場で破棄して通信を断ち切ります。被害を未然に防ぐ即時性が求められる現代の防御において主流となっています。
なぜ「ファイアウォール」だけでは足りないのか?
「ファイアウォール(FW)があるから大丈夫」という考えは、現代のWebセキュリティでは通用しません。
従来の「ファイアウォール」は、主に「IPアドレス」や「ポート番号」を見て通行許可を出します(L3〜L4レベル)。しかし、Webアプリへの攻撃は、許可されたポート(80番や443番)を使い、一見正常なHTTPリクエストを装って入り込んできます。
- FW: 「誰が(IP)」と「どこへ(ポート)」で判断する(玄関の門番)。
- WAF: 「会話の内容(リクエスト中身)」を分析して、不審な命令がないか調べる(部屋の中の専門ガードマン)。
このように、FWをすり抜けてくる高度な攻撃を防ぐために、WAFやIPSを組み合わせた「多層防御」が不可欠なのです。
検知手法:シグネチャ型とアノマリ型
これらの防御製品が悪意を判断するロジックには、主に2つの手法があります。
- シグネチャ型(不正検知): 既知の攻撃パターンをまとめた「データベース」と照合します。特定済みの攻撃には非常に高い精度を誇りますが、未知の攻撃(ゼロデイ攻撃)には対応できません。
- アノマリ型(異常検知): 「普段の正常な通信」を学習しておき、そこから外れた振る舞い(異常)を検知します。未知の攻撃を捕らえられる可能性がありますが、正常なアクセスを攻撃と誤認しやすい側面もあります。
まとめ
WAF・IDS・IPSは、それぞれが得意とする領域をカバーし合うことで、堅牢なシステムを構築します。
- WAFは、Webアプリへの深い攻撃を「内容」から見抜く。
- IDSは、ネットワーク全体の異常を「可視化」する。
- IPSは、脆弱性を突く攻撃を「水際で阻止」する。
- これらをファイアウォールと連携させることで、強固な多層防御が完成する。
ITインフラを運用する上で、これらの特性を理解し、適切に配置することは、サイバー攻撃から企業資産を守るための必須知識です。次回は、これら全ての防壁の基本となる「ファイアウォール」の仕組みをさらに詳しく深掘りします。
コメント