ネットワーク上の脅威に対するため、様々なセキュリティ技術が開発されている。その一つとして、侵入行為を検出する「侵入検出システム(Intrusion Detection System:IDS)」があるが、ファイアウォールや暗号化技術など他のセキュリティ技術に比べ、市販製品も少なく認知度が低いのが現状であり、IDSに関する評価の指針もまだ確定していない。そこで、本プロジェクトでは、侵入検知システムの現状を把握し、IDSを評価するために必要となる各種調査及び実験を実施した。
概要
1.侵入検出システムの現状把握侵入検出システムは、動作環境や検出方式など多岐にわたっているため実態を把握しづらい。しかしその機能は、@判断材料となるデータの収集、A侵入行為の検出、B検出後の動作からなり、判断材料として利用するデータの種別、侵入行為判断手法及び検出後の動作などの観点から分類されることが多い。この分類に基づき、現在国内外の研究機関で開発あるいは民間企業から販売されている侵入検知システムに関して調査を実施した。 2.侵入検出システム評価方法の現状把握
侵入検出システムに関する評価方法、あるいは海外で取り組まれている侵入検出システム評価プロジェクトなどの現状を調査した。今回の調査では、特定の侵入検出システムの評価に関するレポートは確認できたが、侵入検出システム全般を網羅する評価基準策定への官民の取り組みや評価ツールは確認できなかった。しかし、今年度米国の大学で研究プロジェクトが立ち上がったり、民間のセキュリティベンダの中で侵入検出システムの評価を検討している動きがあることなど、侵入検出システムの評価基準の策定は、これから本格化していく段階にあると考えられる。 3.評価方法の検証
前項で実施した調査より、特定のIDSだけでなく広範囲にIDSを評価するための一般的な方法はまだ確立されていないことが確認された。そこで、IDS評価方法を検討するため評価方法を計画、計画した評価方法が有効であったかどうかを、実験環境にIDSを導入して検証した。 本プロジェクトで行った実験では、IDSホスト上やネットワーク上で行われる行為を再現し、IDSの検出ログの内容からユーザが検査及び攻撃項目を特定できるかどうかということに注目して複数のIDSの検出状況を調べた。この実験結果からは、@IDSが利用している情報源が侵入行為の検出に有効であるか、AIDSの判別方法が有効であるか、という項目に関しての評価が可能であった、しかし、この結果からはIDSが導入されるサイトへの適合性を評価することはできない。
まとめ
今回の実験から得られる結果だけでは、次のような理由によりIDSの客観的な評価を行うことはできなかった。
●IDS毎に情報源より得られる情報が同一でないこと
IDSが侵入行為を判断するために使用する情報源の種類が多く、全てのIDSが同じ情報源を使用するわけではない。また、収集できる情報源は、各サイトのコンピュータやネットワーク環境によって異なる。例えば、Host Base IDSでは収集するログの内容に検出行為を判断するための情報が含まれていなければ、侵入行為を判断できない。したがって、ある環境における実験でUNIXのsyslogファイルを使用するIDSが優秀であると評価されても、WindowsNTしか導入されていないサイトにとって、この評価結果はあまり意味がない。その組織が検出したい行為に関する情報を収集できる情報源を利用できるかどうかで評価されるべきである。
●侵入行為の判断基準が一意に決められないこと
今回対象としたIDSは全てmisuse detectionを採用しているため、実施された検査及び攻撃行為に対するパターンがあらかじめ用意されていれば検出可能である。しかし、単に用意されているパターン数を比較するだけでは、評価方法として十分とは言えない。
まだパターンが用意されていない行為に関しては、その行為に関連するログから侵入行為が判断することになる。この場合、IDSが提供できる情報や解析作業は担当者のスキルにより検出精度は異なってくる。また、ユーザがパターンをカスタマイズすることで用意されたパターンでは検出できなかった行為を検出できるのであれば、そのIDSで検出可能と評価できるのではないだろうか。この場合、侵入行為を検出できるようにIDSのパターンをカスタマイズ可能かどうかという点が重要な評価項目になる。しかし、この評価項目は組織のセキュリティポリシーやサイトの環境に依存するため、共通には決定できない。
したがって、今回実施したような対象となるIDSの特徴や機能を一般的に評価するだけでは十分ではなく、その環境で侵入と見なされる行動を検出するために、IDSが備えている機能が適しているかどうかを重視して評価すべきであると考えられる。そのため、IDSを導入するサイトのセキュリティポリシーに基づいて、そのサイトで防止すべき侵入行為や防御すべきリソースの状況などを明確にして、その組織に適した評価項目または評価のためのシナリオを考えなければならない。