図1 IDSには2種類ある<br>ネットワーク上に攻撃データが流れていることを検知する「ネットワーク型」と,特定のホスト・マシンごとに導入してそのホスト上での不正行為を検知する「ホスト型」がある。
図1 IDSには2種類ある<br>ネットワーク上に攻撃データが流れていることを検知する「ネットワーク型」と,特定のホスト・マシンごとに導入してそのホスト上での不正行為を検知する「ホスト型」がある。
[画像のクリックで拡大表示]
図2 ファイアウォール使用上の注意
図2 ファイアウォール使用上の注意
[画像のクリックで拡大表示]

ファイアウォールとIDS(侵入検知システム)は,多くの企業が導入しているセキュリティ・システム。しかしこれらは設置するだけでは十分な対策になりません。正しく設定・運用することと,他のセキュリティ・システムと併用して多層的に防御することが肝要です。

 「企業の顔」ともいえる公開Webサイトの改ざんや,不正アクセスによる個人情報の流出を防ぐために,ファイアウォールやIDS*の導入が一般的になってきました。その背景には,Webサイトを狙った不正アクセスや改ざん事件が増加の一途をたどっていることがあります。

 警視庁の調べによると,2005年上期に確認された不正アクセスは317件。2004年の1年間で報告された356件に迫る勢いです。その対策の一つは,企業ネットワークとインターネットの境界に不正な通信を検知したり遮断する仕組みを導入することです。また,社内ネットワークから他のネットワークを攻撃するような通信を遮断する必要もあります。これらの役割を果たすのが,ファイアウォールやIDSです。

設置するだけでは効果を発揮しない

 ファイアウォールは,企業のネットワークを内と外に分ける役割を持っています。インターネットから不正な通信が社内ネットワークに入り込むことを阻止したり,社内ネットワークからインターネットへの通信を許可したプロトコルだけに制限したりします。Webサーバーやメール・サーバーのようにインターネットに公開する必要があるサーバーは,ファイアウォールが保護したうえで社内ネットワークから隔離するDMZ*(非武装地帯)に設置します。

 もう一つのIDSは,ネットワークを流れるパケットを監視し,不正な通信がないかどうかを調べるシステムです。IDSは大きく「ネットワーク型」と「ホスト型」の二つに分類できます(図1[拡大表示])。ネットワーク型はルーターやスイッチに流れるパケットをキャプチャし,不正なパケットがないかを検知するIDSです。一方のホスト型は,サーバーやパソコンなどのホスト・マシンにインストールするソフトウエア。そのホスト・マシン上で発生するファイル改ざんなどのセキュリティ・イベントを検知します。

原則はすべて遮断,必要な通信だけ許可

 ファイアウォールとIDSに共通する注意点は「適切な設定をしてから設置し,しっかり運用する」ことです。ファイアウォールは,「何も許可しない」状態から必要な通信だけ許可するよう設定すべきです(図2[拡大表示])。こうしないと,思わぬ攻撃の「抜け道」ができてしまいかねません。

 社内ネットワークから外に出ていく通信をすべて許可することにも問題があります。社内にあるサーバーやパソコンがウイルスやワームに感染した際に,被害を外部に及ぼす恐れがあるからです。情報漏えい防止の観点からも,外への通信を自由に許可することは好ましくありません。外へ通信できるアプリケーションを社内ポリシーで規定し,そのルールをファイアウォールに反映させるべきです。

誤報を避けるためIDSを正しく運用

 IDSを設定・管理する上で重要なことは,定期的に設定を見直し,調整することです。IDSを利用する際に大きな障害になるのが「誤報」です。IDSは,「検出漏れ」を起こさないよう設計されているため,副作用として大量の誤報を出してしまう恐れがあります。誤報があまりにも多いと,実際に問題が発生した場合の警告が埋もれてしまう危険があります。誤報を減らすためには,攻撃の検出に使う「シグネチャ」を最新の状態に保つなどの運用が不可欠です。

単体では弱点をカバーしきれない

 ファイアウォールやIDSには,「アプリケーション・レベルの攻撃を防ぐことが難しい」という弱点があります。特にWebサイトへの不正アクセスや改ざんに利用される手口は,アクセスが許可されているポート*を使います。そのため,ファイアウォールで防ぐことは困難です。IDSには防御機能を持つ製品があるものの,誤検知によって正常な通信が切断される危険性を考えると,防御することは難しいのが実情です。

 アプリケーション・レベルの攻撃を防ぐには,ファイアウォールやIDSのほかにプラスアルファの対策が必要になります。具体的には,Webサイトに対してWebアプリケーション・テスト*などのセキュリティ・アセスメントを実施することです。これによりWebサイトのぜい弱性を発見し,問題を早期に修正できます。

 また,Webアプリケーション・ファイアウォール*(WAF)の導入も効果があります。Cookie*のデータを盗聴する手口としてよく使われるクロスサイト・スクリプティング*を防ぐには,Webサーバーに受け渡される情報から悪質なコードを除去しなくてはなりません。こうした手口に対してWAFは,URLのチェックまで実施します。ファイアウォールやIDSをベースに多層防御を取り入れることが,不正アクセス対策の鍵となります。


寺田 洋 NRIセキュアテクノロジーズ 代表取締役社長兼情報セキュリティ事業部長
藤川 晃央 NRIセキュアテクノロジーズ 情報セキュリティ事業部 上級セキュリティエンジニア