ファイアウォールを導入し,適切にフィルタリングを実行すれば,外部から侵入される危険性は小さくなる。ただし万全とは言えない。クラッカは日々,ファイアウォールをかいくぐる技術を作っているからだ。こうしたことから,セキュリティを強くするには,ファイアウォールとは異なる技術を組み合わせるのが好ましい。その代表例に侵入検知ツール(IDS:intrusion detection system)がある。
侵入検知ツールとは,名前が示す通り,ネットワークへの不正侵入を発見するためのソフトウエア。監視する対象別に,ネットワーク監視型IDSとホスト監視型IDSがある。UNIXマシン向けのものが多いが,WindowsNT/2000マシン上で動作するものもある。
ネットワーク監視型IDSは,ネットワーク上を流れるIPパケットをすべて拾って監視するタイプ。LANアナライザと同じしくみといえる。一方のホスト監視型IDSは,サーバーへのアクセスやサーバー上でのコマンドの実行などを監視する。こちらは守りたいサーバー上にインストールする。
どちらのタイプも,不正アクセスの可能性がある“怪しい臭い”を見つけると,アラートや電子メールなどで管理者に危険を報告してくれる。ファイアウォールをネットワーク入り口に置く門とするなら,IDSはその後ろで侵入者を監視する番犬的な存在といえるだろう。
IDSはどうやって不正アクセスの臭いをかぎ分けるのだろう。ここで登場するのが,「シグネチャ」と呼ばれる攻撃パターンを記述したデータベース。このデータベースに,どういうパケットや行動が危険なのかをあらかじめ登録しておく。IDSはネットワーク上を流れるIPパケットの中身を逐一シグネチャと比較して,不正アクセスかどうか判断する。
無数にある不正アクセスのパターンを集めてシグネチャを作成するのは地道でとても骨が折れる作業である。そのため一昔前までは,実用になるIDSは高価な市販製品しかなく,個人や小規模ネットワークでの導入はなかなか難しかった。しかし現在ではボランティアの努力によって,Snort(下記リンク参照)などの本格的なIDSが無償で利用できるようになっている。ヤル気さえあれば個人の常時接続ユーザーでも導入は十分可能だ。
ただしIDSは,どんな不正アクセスでも発見できる万能ツールではない。例えば,100Mや1Gイーサネットといった高速なLAN環境ではパケットを取りこぼすことがあるため,不正アクセスを見逃す可能性がある。またた最近ではダミーの攻撃を多数送り込んでIDSを混乱させるような手法も登場している。ファイアウォール同様,過信は禁物だ。
とはいえ,IDSを設置しておけば,不正アクセス時の状態をあとからじっくり分析できるなど,セキュリティ対策を強化する際に有効な情報を得ることができる。古いパソコンに無償ツールをインストールすれば,導入コストもかからない。セキュリティ対策の強化を考えているのなら,一度試してみるのはどうだろうか。
関連リンク
・セキュリティのプロも使うオープンソースのIDS「Snort」
・日本製のオープンソースIDSもある
・IDSの情報交換のための日本語メーリング・リスト
