不正アクセス対策を組織や企業の規模で実施する場合,サーバーなどの個々のマシンに対策を施すことも重要だが,その前にサイト単位での水際での防御策が必要である。そのためには,どういった製品を導入すべきなのだろうか。また,その導入時や導入後は,組織や企業としてどう取り組んで行けば良いのだろうか。今回は特に,水際を守るファイアウォール製品とIDS(侵入検知)製品の導入時の問題や動向を中心に解説する。

ファイアウォール製品の導入時に何が求められるか?

 セキュリティ対策製品として真っ先に浮かんで来るのは,ファイアウォール製品ではないだろうか。もはや,新規に構築されるサイトでは,ファイアウォール導入は前提条件であると言っても過言ではないだろう。

 ファイアウォール製品に関しては,製品の導入ができるエンジニアが以前に比べると増えたように感じている。導入だけではなく,ACL(Access Control List)の設計を提案できたり,インフラ系も含めたネットワーク構成まで,設計・構築が可能なエンジニアやセキュリティ対策サービスのベンダーも増えてきている。メーカー系を含めて,一年半前に比べると,増えているだけではなく質的な淘汰も進んでおり,状況はかなり改善されつつあるようだ。

 こういった状況の下では,ファイアウォール製品を「導入できる」だけでは物足りなくなってくる。何か他の「プラスアルファ」を持っていないと,ベンダー淘汰の波に飲み込まれてしまうことになる。では,どういったプラスアルファが必要なのだろうか。

 それは,「ログ解析」と「侵入検知」である。

 製品を導入した後の運用フェーズでの問題は,セキュリティ対策サービス・ベンダーが何をしてくれるか,という点に尽きる。運用に入った後は,アドバイスしてくれるようなサービスがあることが重要だ。さらに,ログの解析などのサービスやソリューションを提供できるかどうかが,重要なポイントである。

 製品を導入したサイト管理者は,ファイアウォールのログを解析して日々の運用や対策に役立てているものなのだろうか。また,管理者がネットワーク管理の初心者であった場合,自分でログを解析して,そこから対策を立てることができるのだろうか。さらに,解析するスキルを持ってはいても,サイトが大規模であるなどの理由で手に余る,という状況もあるだろう。恐らくこういった状況が,数多く存在しているのではないだろうか。

 セキュリティ対策の「啓蒙期」はとっくの昔に終わっている。現在は,セキュリティ対策の「成長期」の真っ只中である。対策を施すだけではなく,そこから得られる情報を活用する術を身に付けなくてはならない。ぜひとも効果的なファイアウォール製品の活用法を見い出して欲しい。そして,かけたコスト相応の,あるいはコスト以上のベネフィットを得てもらいたい。見方を変えると,生き残っていくのはそういったベネフィットに結びつくソリューションを提供できるセキュリティ対策サービス・ベンダーであろう。

IDS(侵入検知システム)製品導入の現状は?

 侵入検知対策のために,商用のIDS(侵入検知)製品を導入している組織や企業が本当に多くなったと感じる。侵入検知に関しては,セキュリティ対策が「成長期」に入ったことを受けて,ようやく「啓蒙期」を脱しつつあると言えるだろう。ホスト型やネットワーク型,さらに最近ではハイブリッド型というような形態の製品が存在する。

 では,実際に導入後にどれくらい活用されているのだろうか。運用フェーズに入ったと同時に,適切なメンテナンスや分析・解析が施されていないサイトも存在しているのではなかろうか。また,シグネチャのアップデートなどには対応できても,アラート状況の分析・解析となるとお手上げといった管理者もいるだろう。

 こういったサイトでよく見受けられる問題には,次のようなものがある。IDS製品を導入した効果を上司に報告する際に,上述のような問題点があやふやなため,何も手がつけられなくなってしまう。また,監視ポリシーの設計が古かったり,対象のサイトにマッチしたものでない,さらにその後のチューニングも十分に施されない。そして,こういった要因から,誤報が多く上がってしまい手がつけられない,というような事態である。

 これらの問題を解決するにはどうすればいいのだろうか。独学で侵入検知の対策を編み出して使いこなすことも,方法の一つだろう。また,製品の導入だけでなく,運用ソリューションまで提供できるセキュリティ対策サービス・ベンダーに依頼するといったことも考えられる。

 恐らく現状では,導入したIDSは監視カメラとして動きつづけており,監視モニタに映る人影(サイトへのアクセス)を日々眺めたり,週ごとや月ごとに集計したり,という使い方をしているだろう。果たしてその集計や分析は,今後の対策と連動した効果的なアドバイスやレポートになっているのだろうか。それよりも前に,自らの手で管理をし,日々の業界動向を追いかけ,さらにその情報を元に解析からアドバイス・レポーティングまでを行うのは,それ自体なかなか難しいのことなのではないだろうか。

IDSに対する正しい認識を

 IDS(侵入検知システム)は,啓蒙期には「単なる監視カメラと同じで,侵入されたことを『見ている』だけであり,反撃に出たり締め出したり閉じ込めたりするのは本来の役目ではない」と言われてきた。

 啓蒙期にIDSを導入したならば,この点については既に了解済みだろう。一方,これから新規に構築を行うサイトや,既存の構成にようやく捻出できた予算でセキュリティ対策を施すようなサイトでは,まだまだ正しい理解が浸透していないと思われる。IDSに過度な期待をしがちなのである。IDSの運用に際しては,監視ポリシーの設計内容と運用の仕方が重要なのである。

 配置した,あるいは今後配置する予定のIDS製品には,まずは検知ポリシーを設定しておく必要がある。導入するサイトのセキュリティ・ポリシーなどに基づいて,IDS製品に何をさせるのかを事前に決定しておく必要があるのだ。その方針に基づいて設置個所を設定したり,監視ポリシーを設計していく。

 しかし,適切で完全な監視ポリシーの設計は,実際には不可能なのである。なぜなら,攻撃を仕掛けてくる側は日に日に新たな手法を試みてくるため,設計時点の監視ポリシーが完全に適切(ファイアウォールのACLのように)であることはあり得ないなのである。

 IDS製品は,監視カメラでしかないことを再認識し,こちらの監視ポリシーも検知対象の攻撃の変化に合わせて,日々チューニングをする必要があるだろう。

 IDS製品に関しても他のカテゴリの製品同様,多くのベンダーからリリースされており,それぞれの特徴で販売されている。昨今の製品機能に関するトレンドは,やはりギガビット・クラスの高速ネットワークへの対応が挙げられるだろう。また,使い勝手につながる部分として,GUIの洗練化(3D表示の活用など)も挙げられる。そしてもう一方では,マネージメント機能の強化と共にログ管理機能の増強なども進んでいる。

 どの機能も,IDSを実際に使ってみた管理者から出てくる要望に応えた結果が,ここ2,3カ月で製品に反映しているのだろうと推測する。今後も,各ベンダーがより洗練させていくと思われる。

*     *     *     *     *     *

 我々ユーザーとしては,製品を選ぶと同時に,それをいかにして活用できるかという点にフォーカスを当てるべきである。IDS製品に限らず,今後も新たなカテゴリの製品が登場すると期待しているが,導入時の設計段階から運用段階での活用方法までを,十分なスキルを持ってソリューションとして提供できるベンダーを選択・利用することも重要になるだろう。

 過去に対策製品を導入したはいいが,運用が適切でないために今も危険な状態にあるサイトも多いと思う。しかし,そんなでサイトであっても,すぐに対策を講じれば良い。侵入検知という観点から,現在所有しているリソースをもっと活用し,ログを解析して攻撃の傾向や実際の攻撃未遂を洗い出したり,各所に残った痕跡から侵入経路の推定を行うといったセキュリティ対策を行うべきである。

 セキュリティ対策とそのための製品導入は,「生かすも殺すもそれを管理する人による」のである。これまでも言われていたことではあるが,これを実践する時が来ている。

◎関連情報
ITL Bulletin Online:1999年11月の時点での IDS に対する考察
The NSS Group:1999年5月の時点での IDS に対する考察
The NSS Group:The NSS Group による製品検証比較


大木 英史(Eiji Ohki)
株式会社ラック 不正アクセス対策事業本部
ohki@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。