前回は,ファイアウォールやIDS(侵入検知システム)の効果を高めるには導入後の運用が重要であると説明しました。それに加え,ファイアウォールやIDSから大量に出力されるログの監視と分析も効果を高める鍵となります。今回はこれらのログについて説明します。
ファイアウォールやIDSを使う上では,その運用状況を的確に把握することが必要です。運用状況の把握には,ファイアウォールやIDSが出力するログを利用します。ログを収集・分析すれば,運用状況を継続的に監視し,問題が発生した際に迅速に対策を講じられます。
ファイアウォールは,許可された通信を含むすべてのログを取ることが理想です。一見正常と思われる通信に,情報漏えいなどの問題発生につながる情報が含まれている可能性があるからです。しかしすべてのログを出力すると,ファイアウォールに掛かる負荷が増えます。このため,ファイアウォールの性能に注意しながら最適なログ出力量を検討しなければなりません(図1[拡大表示])。IDSのログについても同様です。
内部から外部への通信に関して,ファイアウォールが通信を拒否したログやIDSの検知ログにも注目すべきです。外部への通信ログからスパイウエアによる情報の持ち出しや,社内ネットワークに接続したパソコンがワームに感染し,それが広まる兆候を検知できます。
全ログを記録するわけにはいかない
ファイアウォールやIDSは,自身に保存できるログの量に限りがあります。ファイアウォールとIDSの多くはsyslog*によるログの外部出力に対応しており,ログ管理ソリューションを使ってログ・ファイルのライフサイクル管理を実施できます。不要なログを適宜廃棄し,ファイアウォールやIDSの限られたストレージに必要なログだけ蓄積するようにすべきでしょう。
さらにIDSでログの出力量を調整するには,誤検知を減らすよう組織の環境に合わせてシグネチャ*を選択します。例えばOSにLinux*,Webサーバー・ソフトにApache*を使っている場合は,Windows OSやIIS*を標的とした攻撃イベントを検知対象外にしてもよいでしょう。
記録したログは分析してこそ
ファイアウォールやIDSのログ件数の増減に着目することで,DoS*攻撃の兆候検知に役立てることもできます。そのためには,セキュリティ管理者が普段から定期的なログの集計リポートを作成することが重要です。ログに表れた通信の傾向を把握することで,問題発生の見極めや対策を講じる際の判断にも役立つからです。例えば図2[拡大表示]に示すリポートからは,IDSが「TCP_Probe_SMTP」と呼ぶポート25に向けられたTCPポート・スキャンを数多く検出し続けていることが分かります。
ただしセキュリティ・イベントの監視を企業のシステム部門で行うことは,大きな負担となります。専門のセキュリティ・サービス提供会社へのアウトソースを検討してもよいでしょう。
ツール併用で攻撃の詳細分析が可能に
外部からのDoS攻撃の発生や組織内で発生する異常な現象を効率的かつ効果的に発見するには,「アノーマリ検知ツール」や「セキュリティ・イベント管理(security event manage-ment:SEM)ツール」が有用です。
アノーマリ検知ツールは,その名が表すようにネットワークのトラフィックを継続的に監視し,正常なネットワーク・トラフィックを把握することで異常(アノーマリ)なトラフィックを発見します。DoS攻撃を例に挙げると,あるパケットが必要以上に送られてくる場合にそれを「異常」とみなし,警告を発します。
SEMツールは,複数のネットワーク機器のログを集約して,ログに記録されたイベントの相関関係を分析できるようにします。イベント間の関係を定義することにより,IDSでは実施できない細かさで警告を出せるようになります。
例えばボット*がインターネットに向けて通信していることをIDSが検知し,警告していることが分かったとします。そこで今度は,日時や送信元/あて先IPアドレスを検索キーにしてファイアウォールのログから該当する通信を探し,それを許可しているかどうかを確認します。外部への通信頻度が高い傾向を確認できれば,社内のパソコンに侵入したボットが社外に向けて攻撃を仕掛けている可能性を見出せます。
さらに,ボットを仕組んだ攻撃元を調べるといった使い方も可能です。ボットに感染したパソコンのIPアドレスを指定してファイアウォールのログを調べることで,そのパソコンに対する過去の攻撃を把握できます。
| 寺田 洋 NRIセキュアテクノロジーズ 代表取締役社長兼情報セキュリティ事業部長 藤川 晃央 NRIセキュアテクノロジーズ 情報セキュリティ事業部 上級セキュリティエンジニア |
