侵入検知システム（IDS）は金の無駄使いじゃない

MarkJosephEdwards

2003.07.08

(Mark Joseph Edwards)

　米Microsoftは，最近ルーマニアのウイルス対策ソフトウエア・ベンダーであるGeCAD Software社の技術と知的財産を獲得する計画を発表した。Microsoftはこの買収により，同社の大多数の製品系列に対し，既存のセキュリティ保護機構にもう1つレイヤーを追加することになる。

　Microsoftがセキュリティ・レイヤーを追加する一方，調査会社の米Gartnerは，各企業にセキュリティ・レイヤーの一部を取り除くことを勧めている。6月11日に発表されたプレス・リリースで、Gartnerは侵入検知システム（IDS：Intrusion Detection Systems）がコストに見合った価値を付加できず，市場が衰退していると発表した（該当サイト）。ここでは，IDSにお金をかける代わりにネットワーク・レベルとアプリケーション・レベルの双方の防御機能を提供するファイアウオールに投資すべきだと勧めている。

IDSはファイアウオールを補完する
　IDSについてのGartnerのプレス・リリースは，同社が最近発表したレポート「Hype Cycles」の販促のためのものだ。そのレポートでは，IDSの現在の人気は価値とコスト・パフォーマンスの点からというより，誇大広告の結果生じているのではないかということを指摘したで，未来の技術が何かを考察している。

　Gartnerの予測を読んだら，読者に2つ質問したくなった。みなさんはIDSの経費がそのメリットよりも高くつくと思っていますか？　ご自分のスタンドアロンのIDSを取り外すほうが自社の利益になると思いますか？

　Gartnerが書いているように，ファイアウオールは，ネットワーク層にあろうがアプリケーション層にあろうが，はたまたデスクトップにあろうが，攻撃をうまく防ぐのに役に立つ。それでも，私は各層の間にIDSを配置したほうがよいと信じる。その理由は（1）IDS技術はあなたのネットワーク内に流れ込むトラフィックのタイプを見られるようにする，（2）事前監視をするIDSは時々ファイアウオールが何も「知らない」攻撃タイプを発見する，（3）IDSをファイアウオールの背後に置いておくと，それらはファイアウオールを回避しようとする攻撃を発見して,それをシャットダウンできる，（4）事前監視をするIDSをファイアウオールの前に置いておくと，怪しいトラフィックについてはそれがファイアウオールに達する前にシャットダウンできる。

「弱点がない」ことは簡単ではない
　GartnerはさらにIDS技術の弱点として（1）間違って攻撃を検出したり見落としたりすることがよくある（毎日24時間の監視作業を必要としている），（2）スタッフの負担を増やす，（3）事件待ちの退屈な業務を必要とする（4）600Mビット/秒を超えるスピードでトラフィックを監視できない，を指摘している。最初の3つの文句はファイアウオールについてだって言えるはずだ。ファイアウオールのユーザーは間違った検出の分もきちんと処理しているし（セキュリティを重視する部署なら24時間ぶっ通しで多くの問題をモニターしなくてはならない），ほとんどのセキュリティに関する事件は発見するのに時間がかかり，欲求不満がたまるとまでは言わないが，飽き飽きするものだ。そしてこれはセキュリティに関係ない事件，例えばサーバーが落ちたり，デスクトップのインストール作業が失敗したりすることでも同じだ。

　600Mビット/秒を超える速度のトラフィックをIDSが監視できないということに対しては，それは主にハードウエアとOSの制限によるものだから対応のしようがある。最高速のプラットフォームは，特定の目的向けに設計されたスタンドアロンのユニットだ。例えば，米Internet Security Systems（ISS）の新製品Proventiaセキュリティ・アプライアンスは1Gビット/秒をはるかに超えるスピードで動かせるスタンドアロンのユニットに，ファイアウオールとIDS，VPN（Virtual Private Network），ウイルス・スキャンの機能をまとめて備えている。

　しかし，スタンドアロンのオールインワン・ユニットを使うことは，「そこを破られたら終わり」という危険個所を作る可能性がある。もし，侵入者が何らかの手でそのアプライアンス・ユニットを壊したら，ファイアウオール，IDS，ウイルス防御機能を含むすべてのセキュリティ機能を破れるだろう。たとえスタンドアロンのユニットを複数使ったとしても，同じことが言える。つまり設定や環境にもよるが，1つのユニットで欠陥を突くことができれば，同じユニット全部の欠陥を突けることになる。こうした可能性がある以上は，複数の異なるベンダーの複数の異なる機能の機器を組み合わせるセキュリティ・ソリューションのほうが，より堅牢かもしれない。

　IDSはセキュリティ市場である位置を占めており，それらは絶対に誇大広告なソリューションではないと思う。しかし，ファイアウオールのベンダーが自らのセキュリティ関連製品を多様化するつもりなら，「1つの弱点もない」と証明された万全なソリューションを提供する必要があるだろう。そして，「万全だと証明する」ことは，簡単な仕事ではない。