II-20-7. IDSによるネットワーク監視の作業手順

IDSを用いたネットワーク監視の作業手順として、セキュリティリスクの検討、セキュリティポリシーの検討、ネットワーク構成への反映、IDSが受信した不正アクセスのブラックリスト化といった具体的な作業手順を説明する。

【学習の要点】

* IDSには未だ精度の問題があり、侵入検知が必ず正しいものとは限らない。このため、管理者はIDSからの通知を確認する必要である。また、通知が大量に発生した場合の人員確保、確認体制も整えておく必要がある。

* IDSを導入したら、通知ポリシーを決める必要がある。通知ポリシーは組織のセキュリティポリシーに依存する。ポリシーに従って適切にチューニングを行わないと、通知確認がボトルネックとなり、せっかくのシステムが意味を成さなくなる場合がある。

* IPSは、管理者に検知内容を通知するのではなく、直ちにそのアクセスを禁止する。管理者が手動で対応する必要がない点がIDSと異なる。

図II-20-7. IPS配備の例

【解説】

1) IDSを使った監視

* 侵入を検知することは、IDSを利用することだけではない。実際になぜそれが必要か、既存のものの何を補うために使用するか、セキュリティポリシーに沿っているかなどを考慮するべきであろう。

* syslogを定期的に監視することで侵入の検知ができる場合も多くある。Linuxのauditdはそもそも監査目的のデーモンである。このような標準のツールの役割をよく考えた上でIDSを導入するべきであろう。

* syslogやauditdの抱える問題と同様の問題をIDSが含んでいることもある。ツールの選択の際にはその弱点もよく見極める必要がある。

2) IDSを使った監視の体制

* IDSは、侵入を検知するものでありそれを防ぐものではないことをよく知っておく必要がある。不正な侵入を検知したら、IDSは管理者に通知する。管理者はこの通知を受けて手動で対応策を施さなければならない。

* 管理者がIDSの発する通知をすべて確認し、対応するのは現実的ではない場合がある。IDSは適切にチューニングしておかないと、誤った検知により多量の警告を発する。

* 多量の警告の中から、不正アクセスを見つけ適切な対策を行なうことは困難である。意味のある検知を行なうためには適切なフィルタリングを行なわなければならない。

* 運用開始後には事前に設定したポリシーを見直したり、チューニングを適切に行っていくという作業が発生する。

3) IPS

* IPS(Intrusion Prevention System)は、IDSの考え方を発展させたもので、不正アクセスを検知したら、そのアクセスを防止するものである。

* 不正アクセスを検知した場合に、管理者に通知するだけではなく、リアルタイムにアクセスを遮断するところがIDSとの違いである。このことで、IDSでは管理者が手動で対応しなければならなかった作業を自動的に行なうことができるようになる。

* アクセスを遮断するという観点からは、ファイアウォールと似ているが、ファイアウォールはIPやポートに対して検査が行なわれるのに対して、IPSはパケットの内容を検査する。例えば、多くのIPSソフトウェアは、HTTPやSMTPといった上位レイヤのプロトコルを理解する。

* IPSもIDSと同様に、主にネットワーク型とホスト型に分けられる。Snortは、IPSとしての機能も実装している。

* IPSの導入によって、IDSの持つ問題がすべて解決できるわけでは決して無い。例えば誤った検知や多くのコンピュータリソースを必要とするなど、依然として問題は存在する。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。