第 9章. 侵入検知

大切な家屋を泥棒による被害やなんらかの要因による倒壊などから守る必要があります。 アラームシステムを備えた家もあります。アラームシステムは不法侵入者を防ぎ、 不法侵入が発生すると当局に知らせ、火災が発生すればそれを警告します。 こうした対策は家屋や所有者の安全を確保するために必要な対策となります。

コンピュータのシステムやデータにも同様のことが言えます。 インターネットは、個人情報から金融情報までその流通を促進します。 同時に、多くの危険性も呼び起こします。悪意のあるユーザーやクラッカーは パッチを当てていないシステム、トロイに感染しているシステム、不安定な サービスを実行しているネットワークなど、攻撃を受けやすいターゲットを さがしています。こうした脅威に対してリアルタイムで対応できるように、 管理者とセキュリティチームのメンバーに侵入が発生したことを知らせる アラームが必要となります。侵入検知システムはこのような警報システムとしてデザインされています。

9.1. 侵入検知システムを決定する

侵入検知システム(IDS)は、許可のないエントリや悪意のあるアクティビティに 対してシステムとネットワークのアクティビティを解析するアクティブなプロセス またはデバイスです。IDSが異常を検知する方法は多様ですが、いずれのIDSも 究極の目的はリソースに実際にダメージを与えられる前に犯人を捕獲することです。

IDSは攻撃、不正使用、感染からシステムを守ります。また、ネットワークの アクティビティを監視したり、脆弱性に関してネットワークとシステムの設定を検査したり、 データの整合性を解析するなど、多くのことを行ないます。装備する検知方法によって、 IDSを使用する上での直接的な利点と附随してくる利点がいくつかあります。

9.1.1. IDSタイプ

IDSとは何か、またIDSが提供する機能を理解することが、コンピュータ のセキュリティポリシーに組み入れるのに適切なのはどのタイプかを決定する上で 重要となります。 このセクションではIDSに関する概念、IDSの各タイプの機能、数種の検知技術とツールが 1つのパッケージとなったハイブリッドIDSなどを解説していきます。

いくつかのIDSは知識ベースであり、よくある攻撃に 関するデータベースを用いて侵入が発生する前にセキュリティ管理者へ先制して 警告します。これに対し、行動型 IDS があり、 異常に関してすべてのリソース使用を追跡します。異常はたいていの場合、悪意のある 行動の陽性をあらわしています。バックグラウンドで作動し、受動的に外部からの 不審なパケットのログ活動をリッスンする独立型サービスのIDSもあります。 他にも標準システムツール、設定変更、冗長なログを管理者の感で組み合わせ、 経験を経て強力な侵入検知キットを作りあげることもあります。多数の侵入検知技術を 検討することは企業にとって適切なものをさがすのに役立ちます。