ネットワーク・システムを守るための「要塞(ようさい)化」と,その維持の重要性については,このコラムでもよく取り上げている。“守る”ことは,もちろん重要である。しかし,セキュリティに万全はない。万が一侵入された場合の対策も大切である。そこで,今週と来週の2回にわたって,IDS(Intrusion Detection System:不正侵入検知システム)について取り上げる。まず今回は,IDSの概要について解説するとともに,その導入時のポイントについて説明する。そして来週は,IDSの弱点や,運用する際に直面する問題点について解説する予定である。
なぜIDSが必要なのか
ファイアウオールなどをもってしても,外部からの侵入を完全に防ぐことはできない。例えば,Webなどのサービスを外部へ提供しているサイトの場合には,そのサービス・ポートを外部に対して開けなくてはならない。そのポートからの不正侵入や攻撃を防ぐためには,使用しているソフトウエアなどのぜい弱性について,絶えず情報収集するとともに,迅速に対応する必要がある。
しかし,これらを実行するには,大変な労力が必要である。そのため,たとえ情報収集や対応を怠っていない組織でも,一時的には,システムがぜい弱性を持ったままになる可能性がある。その時をちょうど狙われて,不正侵入を受けないとは言い切れない。
不正侵入を受けた場合,重要な顧客情報を盗まれたり,商品情報を改ざんされたりする可能性がある。損害は大きい。また,直接被害を受けない場合でも,他のサイト侵入の踏み台にされる可能性がある。踏み台にされた組織は,その社会的信用を失うことにもなりかねない。
そのような事態にならないように,不正侵入をいち早く検出し,通知するシステムがIDSである。
IDSの概要
IDSを簡単に言えば,「あるデータを監視して,その中に不正なものを検出した場合に,何らかの対応をするシステム」である。以下に,「IDSの監視対象」,「検出方法」,そして「検出後の対応」について,簡単にまとめた。
●何を監視しているのか?
IDSは主に以下の情報を監視している。
(1)ホスト上で生成される情報
OSや,サーバーが出力するログ(例えば,syslogやhttpdのログ)
(2)監視プログラムが生成する情報
OSで稼働している監視モジュール(BSM,TCBなど)やIDS自身のモジュールが出力するログ
(3)ネットワーク上を流れるパケット
●どうやって不正侵入を検出するのか?
(1)シグニチャ検出
「シグニチャ」と呼ばれる特定の攻撃パターンをあらかじめ定義しておき,そのパターンとマッチするものを不正侵入として検知する。新しい攻撃手法が次々登場するため,シグニチャを絶えず更新する必要がある。
(2)異常検出
通常の運用状態を定義,あるいは学習させておき,それから逸脱したものを不正侵入として検知する。“逸脱した”という判断に,あいまいさが含まれるため,検出精度はシグニチャ検出よりも低いが,シグニチャとして定義されていない攻撃を検出できる可能性がある。
●どのような対応をするのか?
シグニチャや異常を検出した場合,IDSは次のような対応をする。
(1)通知
検出内容を監視画面に表示したり,特定のサーバーや携帯電話などにメールを送信する。改ざんや盗聴を防止するために,内容を暗号化して送信するIDSもある。
(2)アプリケーションの起動
他のアプリケーションを,IDSを導入したマシン上で起動できる。検出後の対応として,特別な処理をさせたい場合に便利である。
(3)ログの出力
検出内容をデータベースとしてロギングする。緊急性が低く,通知をするほどではないが,内容を保存しておきたい場合や,統計をとって一定期間の傾向を見たい場合に利用できる。
(4)ファイアウオールと連携
特定のファイアウオール製品と連携して,アクセス・コントロールを行ったり,RESETパケットを送信して,接続を切断できる。
IDS導入時のポイント
セキュリティを強化するために有効なIDSではあるが,ただ導入すればよいというものではない。導入前には,システムのどの部分を脅威から守りたいのかを明らかにする必要がある。そして,それに応じた製品や設置場所を選択する。
●どのような製品を選べばよいのか?
IDS製品は,ホスト上で生成される情報を監視する「ホスト型」と,ネットワーク上のパケットを監視する「ネットワーク型」に分類できる。重要なサーバーへの侵入や,コンテンツ・ファイルの書き換えなどを監視したいような場合には,ホスト型IDSを対象ホストに導入するのが有効である。
特定のホストではなく,ネットワーク上で不正な通信を監視したい場合には,ネットワーク型を選ぶとよい。IDSには,無料の製品を含め,様々な製品が存在する。COAST(Computer Operations, Audit, and Security Technology)のWebサイトなどには,リストが公開されている。記事末にURLをいくつか挙げるので,参考にしてほしい。
●どこに置けばよいのか?
ホスト型IDSの場合には,対象ホストに導入すればよい。設置場所が問題になるのは,ネットワーク型である。ネットワーク型IDSをインストールしたマシンの置き場所としては,主に次の3通りが考えられる。監視したい対象に応じて,設置場所を決める必要がある。
(1)インターネット(ルーター)とファイアウオールの間
外部からファイアウオールへのアクセスを監視する。不正侵入の予兆--例えば,ポートスキャンなど--を,特に監視したい場合には,ここに設置する。
(2)DMZ
Webサーバーなどの,公開用サーバーへのアクセスを監視する。ファイアウオールの設定ミスなどにより,公開用サーバーに侵入された場合に備える。また,そのサーバーを踏み台にして,他のサーバーへ侵入されることを防ぐ。
(3)内部ネットワーク
内部ネットワークのトラフィックを監視する。ファイアウオールを通過して侵入してきたパケットや,内部ネットワークで行われた不正な操作などを検出する。
以上,簡単にIDSの概要と導入時のポイントについて説明した。次回は,IDSの弱点や,運用時の問題点について解説するので,楽しみにしてほしい。
◎参考URL
COAST(Computer Operations, Audit, and Security Technology)が公開している情報
セキュリティ検査/監視ツールの一覧表(日経オープンシステム2000年3月号より)
侵入検知システムの一覧表(日経インターネットテクノロジー2000年8月号より)
斎藤松彦(SAITO Matsuhiko)
株式会社ラック 不正アクセス対策事業本部
m_saitoh@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。