【特集】 不正侵入対策最前線 (後編)
〜侵入検知システムでのトータルセキュリティの構築〜

丸山 龍一郎
ストーンソフト・ジャパン
ネットワークセキュリティーマネージャー
2001/9/15

   ホスト型IDSの特徴

1.導入の目的

 基本的に、ホスト型IDSはネットワーク上の重要なシステムを監視するために導入する。例えば、DMZ上の公開用Webサーバがあるが、コンテンツの改ざんやメンテナンス用のログインアカウントの監視をするために使用される。また、ホスト型IDS(ハイブリッド型)は通信のエンドポイントで監視を行うため、ネットワーク型IDSでは監視困難あるいは不可能なスイッチング環境やVPN環境でも利用可能である。

2.データの収集

 ホスト型IDSが不正アクセスの分析のために使用する情報は、そのシステム自身が作成するログ情報やコマンド履歴、レジストリ情報、ファイルのチェックサムなどである。ハイブリッド型はそれに加えて自システムが送受信するパケット情報も利用する。

3.データの分析

 簡単な分析方法としては、システムへのログイン/ログアウトの成否などがある。また、ホスト型IDSは統計情報に基づく分析をする。運用開始からある期間をプロファイリング期間として使用し、期間中のアクティビティをベースとしてそのシステムのプロファイルを作成する。プロファイルには、ユーザーが通常利用する曜日および時間帯、利用するアプリケーションなどが記録される。つまり、そのシステムの通常の運用形態のテンプレートを作成するのである。もし、あるユーザーのアクティビティが作成されたプロファイルと極端に逸脱した振る舞いを示した場合にはアラートを作成する。この手法を利用することでネットワーク型IDSが検出できない新種あるいは未知の攻撃も検出できる可能性がある。

 ハイブリッド型IDSでは、前述したログベースの分析に加えて、パケットレベルでの分析も併用する。パケットが到達した時点でシグネチャベースの分析を実行し、さらに組み立てられたアプリケーションデータによる動作によって記録されたログ情報を基に統計ベースの分析が実行されるわけである。

 ネットワーク型IDSをバイパスするような挿入攻撃や回避攻撃に対してもエンドポイントにおける整合性チェックや再構築処理が完了した後に検査されるため検出が可能となる。

4.アクション

 ホスト型IDSの特徴的なアクションは、ファイルやレジストリデータの復元である。ファイル復元の用途としては、現在毎日のように話題となっているWeb改ざん対策にも使用できる。ただし、この機能を利用する場合は事前に保護したいファイルを指定してオリジナルファイルを安全な領域に退避させておく必要がある。このオリジナルデータの退避に関しては、領域サイズや登録最大数などの制限があるので注意が必要である。また、コンテンツの更新などのメンテナンス作業中はこの機能を停止させる必要があるため、その間は無防備な状態を作ってしまう。

5.設置場所

  • DMZ上に配置
     ファイアウォールによって通過が許可されているアプリケーションが稼働するシステムに導入する。例えば、Web、SMTP、FTPサーバなどである。
  • イントラネットへの配置
     イントラネット上にある重要なサーバ上に導入する。例えば、DBサーバやグループウェアなどである。通常イントラネットに存在するサーバ群に対するセキュリティは、“自社の社員が不正アクセスをするわけがない”という性善説に基づいている。しかし、現実は内部犯行の占める割合が70%以上である。

6.ホスト型IDSの限界

  • アプリケーションの動作環境の変更
     ホスト型IDSを導入するために、現用システムの設定を変更する必要がある場合もある。例えば、詳細なログ情報を取得するためシステム監査の設定を行うなどである。一般的にユーザーはいままで問題なく動作していた環境を変更することには神経質になる。
  • 導入プラットフォーム
     ホスト型IDSの場合、防御したいアプリケーションありきであるため、そのアプリケーションが動作するオペレーティングシステム上で動作するIDSソフトウェアが必要となる。ユーザー環境はマルチプラットフォームで構成されているため、管理、運用上対応したIDSソリューションが求められる。ユーザーは複数のIDSソリューションを導入したくないからだ。
  • 導入および運用コスト
     個々のシステムに導入する必要があるため、その導入コストと運用コストを考慮する必要がある。
  • システムの利用環境の変化
     プロファイルをベースとした分析の場合、ネットワークやアプリケーションの利用形態が変化すると以前のプロファイル情報は無意味となる。例えば、公開用Webサーバ上で何らかのキャンペーンを実施すると、当然以前と比較して膨大なアクセスがWebサーバに対して発生する。そのような急激なトラフィックの変更がある場合、事前にIDSの設定内容を変更しておかないと誤報が大量に発生してしまう。

   クラッカーの攻撃手法を取得する
 おとりサーバ(ハニーポット)

 侵入検知という観点からするとちょっと異例なシステムに“ハニーポット”がある。いわゆるおとりサーバである。ネットワーク上にわざとセキュリティホールがあるように見せかけた脆弱なシステムを設置し、クラッカーの攻撃手法や手順などのデータを取得することを目的とする。クラッカーは攻撃を実行する際に、ネットワーク上に存在するシステムの中で最もセキュリティレベルが低いシステムを標的とする。その性質を利用してわなを仕掛けるというわけだ。実際におとりサーバにアクセスすると、あたかも本当のシステムであるかのようにログインバナーを返す。クラッカーはログインを試みるためにブルートフォースアタックなどを仕掛けてくる。ハニーポットはこれらのアクティビティをすべてデータベースに記録する。

 おとりサーバには、2つのタイプが存在する。実際にシステムへの侵入まで許可するタイプ(ハニーポット)と侵入まで許可しないタイプ(デコイ)である。

 ハニーポットを運用する場合に注意すべき点は、侵入されたシステムを踏み台にして外部のサイトを攻撃させないようにすることである。さらに、ログインアカウントやパスワードに関しても実際のネットワークで利用しているものと同様のデータを使用しないということである。

   トータルセキュリティの理想的な構成

 ネットワーク型IDSおよびホスト型IDSに関するメリット/デメリットが明確になったところで、理想的な構成例を考えてみる。結論としては、ファイアウォールと2つのタイプのIDSを併用することである。特にDMZ上のサーバ群を監視するケースでは、ファイアウォールによるプロトコルの絞り込みを前提とし、ネットワークに対する無差別な攻撃を、ネットワーク型IDSが監視し、ネットワーク型IDSを回避するような攻撃に対しては、ホスト型IDSがターゲットノード上で監視する。複数のセキュリティデバイスを併用することによってネットワーク全体を防御する、いわゆる、トータルセキュリティの実現である(図3参照)。

図3 ネットワーク全体を防御するトータルセキュリティの実現

 

   セキュリティシステム導入時の留意点

 セキュリティデバイスを導入する場合、SIベンダーが提供するコンサルティング・サービスを利用することをお勧めする。ファイアウォールもIDSも一番重要なのはソフトウェアによって検出されたイベントに対するアクションである。基本的にIDSが攻撃を検知した場合、それに対するアクションは、組織固有の情報伝達経路やセキュリティポリシーによって変わる。従って、IDSを設置する際にその組織に関する情報まで取得していないと有効な対応措置は取れないのである。裏を返せば、セキュリティポリシーが明確となっていて、かつインシデントに対する連絡体系や対応策があらかじめ決定されていない環境にIDSを導入しても効果がないばかりでなく、誤報分析ばかりに時間を消費する厄介もののシステムになってしまうのである。

 また、IDSに特化すると、導入後ある程度の期間はシステムのチューニング期間(試運転)としてのスケジュールを設定すべきである。その期間中にトラフィックのプロファイリングやシステム管理者の処理能力の測定(1日にどのくらいの量のイベントを処理できるのか)、攻撃が検出された場合の対応措置の予行演習の実施など、日常の運用で無理がないような環境を構築する。

   注目されるIDSの今後

 侵入検知システムとしての機能面について述べてきたわけであるが、正直なところその導入効果に関しては数値的なデータは存在しないだろう。その意味するところは、IDSの設置がセキュリティ対策面でどの程度有効なのか、理解が難しいということである。しかし、現実として毎日のようにWeb改ざん事件が報じられている。それらの攻撃に対応できるソリューションとしてIDSしかないのである。従って、今後よりいっそうIDSに対する期待というのは増してくると思われる。

 また、IDSに対して当然のように要求される点は、24時間365日の連続した監視である。特にネットワーク型IDSの場合、ソフトウェアやハードウェアのメンテナンスのために停止している間にネットワークが攻撃されたのでは、導入した意味がない。そのため最近では、ネットワーク型IDSをクラスタリングして冗長性および負荷分散を実現するようなソリューションも発表されている。1台のネットワーク型IDSでは、高速ネットワークやハイ・トラフィックに対応できないが、これはクラスタリングすることによって複数台でそのネットワークをカバーするといったユニークなソリューションである。

 さらに、一般ユーザーもインターネットに常時接続できる環境が整備されてくると、クラッカーにより一般ユーザーの端末が攻撃の対象となる。基本的に企業ユーザーと比較するとネットワークやセキュリティに関する知識が不足しているため、個人データを流失させられたり、Ddos攻撃の踏み台にされたりといったケースが増加してくる。今後は、個人ユーザー向けのIDS製品が充実してくると同時に、一般ユーザーに対するセキュリティに関する啓蒙活動が重要になってくると考えられる。

 今後ますますホットになるIDSマーケットに注目してほしい。

 



Index
特集:不正侵入対策最前線(前編)
  Page 1
敵もさるもの、やはりクラッカーの方が賢いのか
管理者苦難の時代
キーワードは「トータル」
Page 2
セキュリティソリューションの錯覚

セキュアなWebシステムの構築例
特集:不正侵入対策最前線(後編)
  Page 3
監視カメラとしてのIDS
IDSの基本的な動作の仕組み
ネットワーク型IDSの特徴
  Page 4
ホスト型IDSの特徴
クラッカーの攻撃手法を取得するおとりサーバ(ハニーポット)
トータルセキュリティの理想的な構成
セキュリティシステム導入時の留意点
注目されるIDSの今後


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH