IDS(侵入検知システム)ユーザーは着実に増加している。それに伴って,新しく登場する製品には,現場からの声が確実に反映されている。その結果,現在のIDS製品は「アプライアンス」,「大規模向け」,「ウイルス/ワーム対策」のいずれか(あるいは複数)へ向かっている。そこで今回のコラムでは,以上3つの,IDS製品のトレンドについて解説したい。筆者の過去のコラムにおいても,IDS製品のトレンドについては触れているが,今回は最新の情報に基づいて,例として製品名を挙げて説明する。
なお,既に気付かれている読者は多いだろうが,筆者のコラムは IDS に関するものが続いている。シリーズ化されている感すらある。興味のない読者は「またか」と思われるかもしれないが,セキュリティを語る上では,今やなくてはならない分野である。ぜひお付き合い願いたい。すぐに導入する予定がなくても,IDSの分野を押さえておくことは,決して無駄ではない。
ユーザーの声から浮かび上がった3つのニーズ
一部の“コア”なユーザーから始まったIDS製品の導入であるが,現在ではユーザーが増加して,そのすそ野は広がっている。それに伴い,ユーザーあるいは導入を考えているシステム管理者などからは,いろいろな“声”が聞こえるようになってきた。
導入を考えている管理者などからよく聞かれるのが,(1)「煩わしい導入作業や設定などは極力避けたい」という言葉だ。加えて,(2)「大規模システムに対応できる製品がほしい」といったことも聞かれる。具体的には,多量のトラフィックに対応できることはもちろん,複数のセグメントをそれぞれ監視し,それらを一元管理できるような製品を求めている。
そして,既に導入しているユーザーからは,「Code Red」や「Nimda」などの出現を受けて,(3)「ウイルス/ワームもIDSで検知できないか」という声も聞く。
これらのニーズを受けて,IDS の分野では,(1)アプライアンス,(2)大規模向け,(3)ウイルス対策---といった,3つのトレンドが生まれている。これらをすべて満たすような製品は存在しないものの,部分的にはユーザー・ニーズにこたえようとしている製品ラインアップが徐々に出始めている。
以下,可能性を感じさせる製品からいくつかの例をピックアップして紹介するとともに,3つのトレンドについて解説する。
(1)アプライアンス
アプライアンスとは,専用のきょう体に,専用のボードやカスタマイズ OS などを搭載し,あらかじめ必要なアプリケーション(ここではIDS)だけをインストールしたハードウエア製品のことである。IDS アプライアンス製品の例をいくつか示す。
他にも同様の製品はあるだろうが,筆者が検証などのために直接触ったことのある製品のみをリストアップした。いずれの製品も,IDS に必要な「センサー」(パケットをキャプチャするエンジン部分)がプリインストールされている。
ただし,センサーが検知したアラートやインシデント(特別な事象)の表示や,ログの保存および監視ポリシーの編集などに必要な「監視コンソール」用に,別のマシンを1台用意する必要がある。また,センサーと監視コンソールを連携させるための設定作業も発生する。
ユーザーがアプライアンス製品に求めているのは,ひとえに“Easy to Use”である。別マシンを用意したり,細かい設定作業を必要としたりするようでは,「煩わしい導入作業や設定などは極力避けたい」というニーズに十分こたえているとは言えないだろう。
ところがベンダーは,検知精度の向上に重点を置いて開発しているように思われる。アプライアンス製品には2つの側面がある。ユーザーが求めている“Easy to Use”に加え,専用製品ならではの“高精度”である。汎用のハードウエアを使用する製品と異なり,パケットをキャプチャするエンジンを専用設計したり,最適化したりすることが可能なのである。
もちろん,“Easy to Use”であっても,検知精度がおそまつでは何にもならない。こちらについても当然重視されるべきである。ただし,現場からは“Easy to Use”が強く求められている事実を,我々サービスベンダーや製品ベンダーは認識しておくことが重要であろう。
(2)大規模向け
前述したように,大規模向けIDSに求められるのは,(a)サイトやセグメントがいくつもあるようなネットワークを効率的に管理できること,および(b)トラフィックが多い(広帯域の)ネットワークを問題なく管理できること---であろう。
これに対して各製品ベンダーは,後者(b)に焦点を当てて「大規模向け」としているようだ。「ギガビット・ネットワーク」対応である。そのような製品の中で,よく名前が挙がる製品を以下にリストアップする。
いずれの製品も,ギガビット・ネットワークでも問題なくキャプチャできるといったことを“売り文句”にしている。しかし,「近い将来には必ずギガビット・ネットワーク時代が訪れる」とよく言われているものの,現在は“ギガ”の帯域を必要とする環境は限られている。そして,ギガの帯域でIDSを使う環境となると,さらに少なくなる。そのため,ギガビット・ネットワーク対応であっても現時点ではあまりメリットは感じられないだろう。
一方,製品構成を大きく変えて負荷分散を可能にし,「大規模向け」をうたう製品もある。
同様の構成が可能な製品は,同製品に限らず存在する。大規模向けの要件を満たすためには,「負荷分散」は当然必要な対策の一つだと思われる。
(3)ウイルス/ワーム対策
大きな被害をもたらした「Code Red」に「Nimda」ウイルス/ワーム。こうも続くと,「次は一体どんなウイルス/ワームが出現するのだろう」と戦々恐々としているといる管理者もいるのではないだろうか。
ウイルス/ワーム対策としては,もちろんウイルス対策ソフト(アンチウイルス・ソフト)を導入することが第一に挙げられる。しかし,「全トラフィックをキャプチャしている IDS にもその一端を担ってもらうことはできないだろうか?」と考えることは,いたって自然な発想だろう。
もちろん,ユーザー・マシンへのウイルス感染および発病をIDSで防ぐことはできない。しかしながら,少なくともIDSからのアラートを受け取ることで,システム内にウイルス/ワームが侵入したことを知ることはできるだろう。さらに,ログを参照することで,感染ルートの調査を行ない解明できる可能性もある。
現状でそこまで可能ならば,さらに発展させて「ウイルス/ワームが実際に発病した場合にアラームを出してほしい」と考えるのも自然な発想だ。実際そのような要望を耳にする。さらに「もっと言わしてもらうなら,対策までやってくれ」といった話まで聞くこともある。
さすがにそうなってくると,従来の IDS とは呼べない。IDS から一歩進んだ,ICS(Intrusion Countermeasure System:侵入対策システム。筆者による造語)と呼ぶことになろうか。ユーザーの要求に耳を傾けていると,ICS のニーズは確かに存在する。
現状では筆者が考えているようなICSは存在しない。しかしながら,ウィルスやワームに関する部分では,発想が恐らく同じではないかと思われる製品が,最近ニュースで報じられたので挙げておこう。ただし,実際に検証したわけではない。以下のURLから得られた情報に基づいた想像であることを断っておく。
◇ ◇ ◇ ◇ ◇ ◇
改めて言うまでもないが,IDS を導入して運用していくことは楽なことではない。すべてをシステム化することはできず,使う側の“人間”の問題が絶えず付きまとうからだ。IDSがリアルタイムに検知したとしても,ユーザーがリアルタイムに対応できなければ意味はない。IDSは検知するだけで,対策を施すのはユーザーなのだ。また,検知されたインシデントを分析し,今後のセキュリティ対策に生かしていかなければ,わざわざIDSを導入した意義は薄れる。
しかしながら,今回紹介したようなトレンドに見られるように,ユーザーのフィードバックに基づいた製品開発が進んでいけば,より使いやすくて高性能なIDSあるいはICSが登場することは,十分期待できるだろう。
大木 英史(Eiji Ohki)
株式会社ラック 不正アクセス対策事業本部
ohki@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。
