II-20-5. 侵入検知システム(IDS)の仕組み

ネットワークサーバへの不正アクセスを検知する侵入検知システム、Intrusion Detection System (IDS)の原理、機能と効果、侵入検知を行う必要性について解説する。またIDSが持つ課題として検知ポリシーの問題点やIDSを意識した攻撃への対策について説明する。

【学習の要点】

* 侵入検知システム(IDS)は、ファイアウォールで防ぐことのできない不正プログラムの侵入や行為を発見する仕組みである。

* ファイアウォールは、サービスを行っていない接続ポートに対してのパケット侵入を遮断するものである。サービスを行っているポートへの不正パケットを検出するIDSは、ファイアウォールとは別に必要である。

* 現在のIDSによる不正パケット侵入検知のアルゴリズムには精度の問題がある。また、設計によってIDSシステムに負荷が集中し、その性能がサービスへ影響することも考えられる。

図II-20-5. ネットワーク型IDSの例

【解説】

1) 侵入検知システムの原理

* 侵入検知システム(IDS)は、インターネットなどを経由して不正にネットワークに侵入しようとする行為を検知するような機構である。

* ファイアウォールによる保護とは違い、公開サービスのために解放しているポートを使って不正に侵入されたことを検知することがIDSの目的である。

* 侵入検知システムは、侵入行為をブロックすることはしない。侵入行為が検知されると、管理者にメールなどで知らせる。管理者はこれを受けて手動で対応することになる。

* ホストへの侵入検知に対する対策の歴史は長い。例えば、定期的にsyslogを監視し、内容をメールやその他の方法で外部に保管し、ログをその場でトランケートするといった方法は、単純であるが非常に有効な手段であり、侵入検知に対する考え方として重要である。

2) 侵入検知システムの種類

* 侵入を検知するアルゴリズムの観点から、通常作業との比較により異常を検出するもの(anomaly型)と、予め用意した不正行為パターンへのマッチングを行うもの(signature型)の2種類にわけられる。

* ネットワーク型IDS、ホスト型IDSという分類を行なうこともある。ネットワーク型はネットワークの境界に設置され、ウィルスの侵入やDoS攻撃を検知する。ホスト型は、サーバにインストールされるソフトウェアエージェントであり、OS上での不正な行為を検知する。ファイルの改竄を検知するものもある。

3) 侵入検知システムの性能・精度

* IDSの検知は、100%信用できるとは限らない。signature型でパターンをすべて網羅することは現実的に不可能であるからである。つまり、未知の攻撃には対応できない。また、多くのパターンへのマッチングには多くの計算リソースを消費する。検知アルゴリズムの精度向上や、性能の問題は今後の課題である。

* anomaly型IDSの誤った検知は、False PositiveとFalse Negativeとして知られる。前者は問題のないイベントを異常として誤って検知することで、後者は問題のあるイベントを見過ごしてしまうことである。

* サーバ運用を行なっていると、悪意のある者からのポートスキャンや、不正ログインの試みは日常茶飯事である。こういったパターン化した攻撃に対しては侵入検知システムは非常に有効である。

* 構成方法としては、ファイアウォールと組み合わせるのが一般的である。ファイアウォールによって不正なポートへのパケットを遮断し、ファイアウォールを通過したパケットの中身をIDSによって検査する。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。