【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第4回侵入検知・ハニーポット［後編］

（2005年07月11日）

　侵入検知システム（IDS : Intrusion Detection System）は、ネットワーク上のパケットやホスト上のイベントを監視することで、不正な侵入を検知する。前回は、前編として、IDSの概要、ネットワーク型IDSの構成と配置などについて説明した。今回は、後編として、ネットワーク型IDS製品の選定のポイントと、IDSと関連したセキュリティ対策ツールであるハニーポットについて解説する。

鳥居肖史
ネットワンシステムズ

ネットワーク型IDS製品の選定ポイント

　侵入検知システム（IDS : Intrusion Detection System）は不正侵入を検知するためのツールであり、ネットワーク型とホスト型に分けられる。ネットワーク型IDSにはハードウェア製品とソフトウェア製品の2種類があり、ネットワーク上に流れるパケットを監視することで、不正アクセスと思われるパケットを検出して、管理者に通知する。一方、ホスト型IDSはソフトウェア製品であり、サーバに常駐して、サーバ上の不正なログインやファイルの書き換え（改竄）などを検出して、管理者に通知する。

　この2つのタイプのIDSを比べた場合、ネットワーク型IDSにはネットワーク全体の監視が行え、そのうえ導入が簡単だというホスト型IDSにはないメリットがある。そのため、ホスト型IDSよりもネットワーク型IDSのほうが導入実績が多いと言われている。

　そこで、本稿では、前回に引き続き、ネットワーク型IDSに焦点を当て、技術動向を交えながら、その製品選定のポイントを解説する。ネットワーク型IDS製品の選定ポイントは次の7点である。

①チューニングと監視サービス
②自動チューニング
③製品形態
④処理性能
⑤セキュリティ統合アプライアンス
⑥検知ポートの複数装備
⑦リポートのファイル形式

ポイント1：チューニングと監視サービス

　前編では、IDSが攻撃を検知する方式として、シグネチャ・マッチング方式（注1）とアノマリー検出方式（注2）を紹介した。そのうち主流となっているのはシグネチャ・マッチング方式であるため、本稿では、同方式について詳しく解説することにしたい。まずは、シグネチャについて説明しよう。そのサンプルとして、シスコシステムズのネットワーク型IDS「Cisco Secure IDS」のシグネチャを画面1に示した。

　画面1で表示したシグネチャは、Nachi Worm ICMP Echo Requestという名前のNachiワームを検出するものである。Nachiワームは、感染活動を行う際にICMP Echo Requestというパケットを発生させ、データ部が「＼xaa＼xaa＼xaa …」であるという特徴を有する。画面1では、RegexStringがパケットのマッチングを行うための正規表現を指定する部分であり、「＼xaa＼xaa＼xaa…」となっている。これは、Nachiワームが発生させるICMPパケットのデータ部にマッチしている。つまり、Nachi Worm ICMP Echo Requestというシグネチャを備えるCisco Secure IDSは、「＼xaa＼xaa＼xaa…」というデータを含むパケットを検出すると、Nachiワームがネットワーク内に侵入したと見なして、管理者にアラートを送るわけである。

　ところで、シグネチャ・マッチング方式には、侵入検知の正確性という点で、いささか問題がある。その問題とは、実際には攻撃ではないものを攻撃と誤認すること（フォールス・ポジティブ：注3）や、本来は無視してもよい攻撃に対してアラートを発することである。後者の例としては、攻撃対象となっているOSやアプリケーションの脆弱性が存在しない環境に対して、攻撃パケットが送りつけられる場合などがある。

画面1：シスコシステムズ「Cisco Secure IDS」のシグネチャ