IDS/IPSでは目的をはっきりさせる

 IDS/IPSの選定に際して,検討する項目として以下が挙げられる。

  • IDS/IPS 導入の目的は何か
  • 監視対象ネットワークの数や帯域はどのくらいか
  • 求める可用性はどのくらいか
  • パケットのペイロードを取得できるか
  • どのようにIDSを運用するか

 IDS/IPS導入の目的は,不正侵入を監視する事であるが,どのような攻撃を検知するか,あるいは検知した後にどのようなアクションを取るかで選定するIDS/IPSの種別も違ってくる。

 例えば,既知のぜい弱性だけではなく,ネットワーク・トラフィックの推移からDDoS攻撃の可能性やトラフィックの兆候を見たいのであれば,アノーマリ(異常検知)を得意としたIDS/IPSを選ぶ必要がある。

 また,特定Webコンテンツの改ざんをいち早く検知したいのであれば,ネットワーク型ではなくホスト型のIDS/IPSを選ぶのが適切である。

 ネットワーク型のIDS/IPSの場合,ネットワークトラフィックを漏れなく検知できる事が重要である。そのため,IDS/IPS機器は監視対象のネットワーク・トラフィック以上の帯域に対応していることが求められる。

 過剰なオーバースペックはコストの無駄になるが,少なくとも最大時のトラフィック以上の通信に対応している必要がある。特にWebサーバーを監視する場合は,コンテンツや構成によってトラフィックが変動しやすい。将来のアクセス数なども想定して選定する必要がある。

 トラフィック量だけでなく,監視対象ネットワーク数についても把握しておく必要がある。機器スペック表より,IDS/IPSのセンサー・ポートまたは検知ポートの数が監視対象ネットワーク数に応じた機器を選定すればよい。

 可用性は,ネットワーク型IPSのように装置の故障がネットワーク全体に影響を及ぼす場合には,重視しなければならない。より可用性を求める場合には,電源やファンなどが冗長化されているモデルを選択する。また,HA構成(二重化)やフェールオープンも可用性を高める機能として挙げられる。求められる要件や予算に応じて検討するとよいだろう。

 パケットのペイロード(通信の内容)を取得できるかは,日々の運用に欠かせない機能である。ネットワーク型のIDS/IPSを一度でも運用された経験があればお気づきだと思うが,IDS/IPSで通知されるアラートの多くは,誤検知(過剰検知)である。IDS/IPSの運用管理者は,日々通知されるアラートを分析し,誤検知であればチューニングして通知を抑止する。その際に必要となるのがパケットのペイロードである。

 パケットのペイロードには,通信の内容が含まれている。IDS/IPSの運用管理者は,ペイロードを確認して,通知されたアラートが攻撃かどうか,攻撃であれば対象サーバーに影響があるのかといった分析を行う。影響なしや誤検知と判断できた場合に,はじめてIDS/IPSでチューニングを行うことが可能となる。

 逆に言えば,ペイロードを確認できないIDS/IPSでは,誤検知かどうかの判断が難しいため,チューニングもできずにアラートが増え続け,運用管理者のみならず,IDS/IPS自身にも負荷を掛けてしまう。

 そして,最後に忘れて成らないのが,どのようにIDSを運用するかということである。IDS/IPSは設置しただけでは何も意味がない。設置した後にIDS/IPSが発行するアラートをどのように活用するかが重要である。

 IDS/IPSは誤検知がつきものだが,事実,IDS/IPSを設置すると非常に多くのアラートが検知される。アラートが多すぎて本当に重要なメッセージを見逃してしまっては意味がない。設置したネットワークやシステム構成に応じて,設定変更や機器のチューニングを行う必要が生じてくる。また,機器の運用では,日々公開されるぜい弱性に対応するために製品のアップデート(一般的に「シグネチャアップデート」と呼ばれる)を行う必要がある。

 IDS/IPSの導入には,機器の適切な選定と設定,アラート分析,継続的な機器運用のすべてが求められる。

吉田 裕也(よしだ ゆうや)
三井物産セキュアディレクション
セキュリティアセスメントグループ
テクニカルコンサルタント
セキュリティコンサルタントとして,主にWebアプリケーションのセキュリティ検査などに従事している。官公庁,金融系サイト,ショッピングサイトなどの検査実績を持つ。