沖電気工業は,ネットワーク型IDS(侵入検知システム)の運用負荷を軽減させるシステム「被害判定システム(仮称)」を開発した。5月中にも正式に製品を発表する。ネットワーク型IDSが頻繁に発するアラート(警告)のなかから,実際に社内のサーバーに被害を与えている攻撃についてのアラートだけを抽出し,管理者に通知する仕組みである。出荷は8月の予定。価格は未定である。
ネットワーク型IDSは,ネットワーク上を流れるすべてのトラフィックを監視し,シグニチャ(攻撃情報データベース)などを基に攻撃を検知する。ただ,実際にはIDSは攻撃と“疑われる”トラフィックについてアラートを発するため,その数が膨大になりやすい。IDSのシグニチャを更新すると,その都度,こうしたアラートの数は増える。また,サーバーにパッチを適用するなどの対策を講じたあとでも,IDSは攻撃を検知する。管理者は,実際には攻撃を受けていない場合,あるいは無効な攻撃を受けている場合でも,アラートの内容をチェックしなければならず,運用の負担が大きい。
被害判定システムは,こうしたIDS運用の負担を軽くすることを目的としたシステムである。システムは,Linuxベースのアプライアンスとして提供される被害判定システム管理装置と,守りたいサーバーに搭載する被害判定エージェント(Solaris8またはLinux用)で構成される。
仕組みはこうだ。まず,IDSに,攻撃を検知した場合に,被害判定システム管理装置あてに,警告メールを送るように設定しておく。管理装置は,警告メールを受け取ると,メールに記述されている攻撃対象のサーバー(エージェント)に,被害判定を指示する。これを受けて,エージェントはサーバーに不審な動作の痕跡がないかをチェックする。例えばトロイの木馬のような不審なプロセスが稼働していないか,本来使っていないはずのポート番号での通信が発生していないか,設定ファイルへの不審なアクセスがないか,といった点である。エージェントは,あらかじめ設定した「定常状態での動作パターン」と,判定時の動作状況の差分から,不審な動作かどうかを判断し,判定結果を管理装置に通知する。
管理装置は,攻撃を受けたという判定結果を受け取ると,その旨を管理者にメールで通知する。IDSからのアラートがあっても,エージェントが被害を受けていないと判断した場合は,管理者には何も通知しない。管理者は重要なアラートに対してだけ,対策を講じればよいことになる。
(Y.K.)
