7.8 侵入検知・予防システム
 一般に外部との接続経路には、ファイアウォール(2.3.5参照)プロキシサーバー(2.3.6参照)等を配してその上で通信を管理・制御することで、不正アクセスや侵入の企てを防護する措置をとりますが、それだけ不正アクセスや侵入を全て検知したり、予防したりすることはできません。不正アクセス専用の対策として、侵入を検知する侵入検知システム(IDS:Intrusion Detection System)があます。最近はIDSに防御機能を備えた侵入予防システム(IPS:Intrusion Protect System)の研究が行われ製品が登場しつつあります。
 

コース (A  B  C  D  E)

7.8.1 侵入の検出方法
 IDSもIPSも基本的な侵入の検出方法は同じで、次の2種類の方法があります。
 
@ シグネチャ検知(Signature detection)またはパターンマッチング

 パケット内をチェックし、不正アクセスに使われる特徴的な文字列が含まれているかを検査するもので、この特徴的な文字列パターンを「シグネチャ」と言い、シグネチャに一致した場合不正アクセスと見なします。IDSベンダーより提供される最新のシグネチャを常に登録しておく必要があります。また、ネットワークの高速化に伴いIDSの比較性能の高速化が要求されます。
 
A アノマリ検知(Anomaly detection:異常検出)
 通常のシステム利用ではあり得ない行動を検出するもので、検知対象として以下のような異常行動があります。例えば、トラフィックアノマリの例では、pingコマンドの発生頻度が常識の範囲を超えている場合などがあります。
 

検知対象

内容

プロトコル

アノマリ

ある通信プロトコルの仕様と比較して、仕様から逸脱していることを検知する。

発信元の偽装通信など

トラフィック

アノマリ

通常の通信量以上の通信がネットワークに流れたことを検知する。

あらかじめ閾値を決めておく方法と、日常の通信から学習により自動的に閾値を算出する方法がある。

比較対象はコネックション数、SYNパケット、FINパケット、UDPパケットなど

アプリケーションアノマリ

アプリケーションに対して通常では考えられない通信や動作を検知する。

サービス以外のポートへのシステムコマンドなど

 

 多くのIDSやIPSはシグネチャ検知が中心ですが、アノマリ検知を搭載しているものが増えてきています。

 さらに、IPSでは検知機能を充実させて、シグネチャ検知、アノマリ検知などを組み合わせた検知ロジックを採用することで、既知の攻撃だけでなく未知の攻撃も検知できるようにしています。また、IPSはIDSと違って内向き(外から内へ)の通信と外向き(内から外へ)の通信にそれぞれ別々に検知の基準を適用することができます。
 

コース (A  B  C  D  E)

7.8.2 特徴と設置場所
1) IDSの特徴と設置場所
 IDSを設置する場所によりネットワーク型とホスト型の2種類のタイプがあり、監視対象、監視方法が異なります。
 

@ ネットワーク型(NIDS)

・ ネットワーク上に流れるパケットを収集して、そのプロトコルヘッダやデータを解析します。
VPN(7.6.1参照)SSL(7.6.3参照)による暗号化された通信では、復号された情報が不正なものであるかどうかの判断ができません。
・ 監視対象となるホストには余計な設定を施さないので、ホストに負荷をかけません。
・ トラフィック量が多い場合は、パケットを収集する処理能力が追いつかず、不正パケットを取りこぼす問題もあります。なるべく処理能力の高いCPU、そして信頼性のあるLANカードを使用することが良いでしょう。
・ 設置場所はファイアウォール(2.3.5参照)の外側、DMZ(2.3.5(4)参照)内、社内ネットワークが考えられます。
・ ファイアウォールの外側の場合は、インターネットから公開サーバーや社内ネットワークへの不正アクセスを検出します。
DMZ内の場合はファイアウォールを通過したパケットのみを検出します。
 

A ホスト型(HIDS)

・ サーバーに常駐して、OSの監視機能などと連携して不正侵入を検知します。
・ 保護したいホストにインストールし、ログファイルやファイルの改ざんの監視を行います。
(例:認証の失敗が何回も繰り返された場合や、ファイルが更新されていないのにファイル属性が変わったなど)
・ 暗号化された通信においても、復号されたパケットを監視するので、検出は可能です。
・ 監視対象サーバーが複数あれば全てにインストールする必要があり、バージョンアップなどの定期的メンテナンスを行う必要があります。
 
(2) IPSの特徴と設置場所
 IPSは、自動改札機のような役割を果たすもので、ネットワークの通り道に設置しますので、インライン型IDSともいわれています。
 

・ 通過するパケットを監視し、異常を検知するとあらかじめ設定された手順に従い、自動的にパケットを廃棄したりセッションを遮断したりすることができます。
・ 設置場所はファイアウォールの外側、DMZ内、社内ネットワークが考えられます。
・ ファイアウォールの外側の場合は、インターネットから公開サーバーや社内ネットワークへの不正アクセスを検出します。
DMZ内の場合はファイアウォールを通過したパケットのみを検出します。
 IPSはネットワークの回線の中に置いて、通過するパケットを監視するため高速処理が求められ、LSIなどを用いた専用エンジンなどで性能向上を図っています。
 IPSの電源障害などにより、ネットワークの機能が停止してしまうこともあり得ますので注意が必要です。
 

コース (A  B  C  D  E)

7.8.3 ログの分析方法
 IDSやIPSでは、ネットワークあるいはホストにおいて通信された種々の情報やシステムの状態などの情報がログとして記録されます。例えば、誰がログインしたか、どのようなデータが流れたか、どのようなエラーが発生したかなどのデータが時間と共に記録されます。このログ情報は膨大な量になる場合がありますが、それらを適切に分析しないとせっかく取ったログも意味を持ちません。分析の手法として以下の方法があります。
 

分析手法

特徴

統計分析

一定期間のアクセス数やアクセスの頻度などの情報を表やグラフに表して分析する方法で、統計的情報から逸脱したデータを検知し不正アクセスを判定する。閾値をどこにするかにより検出率と誤検知率が変化する。

イベント分析

1回の攻撃で、複数のログが記録されることも多いので、IDSで検知した通信などを総合的に分析する。

データマイニング(相関分析)

大量のログデータから、ある傾向や相関関係などを見つけ出す分析手法である。通常数回のステップを踏んで相関関係を絞り込んでゆくので手間がかかるが、有効な情報を得ることができる。


 

コース (A  B  C  D  E)

7.8.4 IPSの防御機能

IPSには、検知された悪意のあるトラフィックを回避したり遮断したりするためのいろいろな防御機能が搭載されています。

@ TCPリセットによる遮断

 IDSでも使われている手段で、TCPプロトコルを使用した不正な通信を検出すると、発信元や送信元に向けてリセットパケット(リセットを要求するパケット)を送信することでコネクションを切断します。
A 発信元へのICMP不達レスポンスによる遮断
 UDP(User Datagram Protocol)やICMP(Internet Control Message Protocol)を利用した不正な通信を遮断する方法で、発信元に対して発信先ホストが存在しないことを示すレスポンスを返すことで攻撃を回避します。
B パケットの破棄(Dropパケット)
 不正なパケットを検知すると、1パケット単位で破棄する方法で、TCPリセットなどでは防御できない攻撃に対して、パケットをIPSより先に通さないようにすることができます。
C ダイナミックブロッキング(Dynamic Blocking)
 ファイアウォールと連動してファイアウォールのフィルタリング設定を動的に変更することにより、該当する攻撃トラフィックを一定時間遮断できます。このブロック方法は上記BDropパケットと連携して利用すると、一連の攻撃における最初の攻撃パケットも完全に遮断することができます。
 

コース (A  B  C  D  E)

7.8.5 IDSやIPS導入の注意点

IDSやIPSを利用する場合は、その利用目的を明確にし、目的に合わせた設計を行うことが重要です。
 また、IDSやIPS(特にIPS)はまだ新しい技術で、日々改良が加えられていますので、採用の検討時には最新の製品情報を入手する必要がありますが、以下のような課題がありますので注意してください。
@ 取りこぼし

 ネットの転送速度の向上に対して、IDSやIPSの処理性能が遅れパケットを取りこぼすようなことが発生していましたが、LSIの採用で高速処理が可能になっています。処理性能とネットの性能を良く検討する必要があります。特にショートパケットが多い場合に問題になります。
A IDSやIPSへの攻撃
 IDSやIPSの仕組みを悪用してその機能を無効化するような攻撃があります。IDSやIPSだけを全面的に信用するわけにはいきません。
B シグネチャ検知の誤検出
 侵入の検知は、主にシグネチャのパターンマッチングを行っていますが、正常な通信を不正な通信と判断する誤検出と、不正な通信を不正と判断しない誤りとが考えられます。これらの誤検出動作は日常の運用の中で改善して行く必要があります。
C 暗号化通信に対する検知能力
 暗号化された通信に関しては、復号してパターンマッチングを行うことはできないので、基本的に検知はできません。