侵入検知システム(IDS)と侵入阻止システム(IPS) (2)

侵入検知システム(IDS)と侵入阻止システム(IPS)

侵入検知システム(IDS: Intrusion Detection System) (2)

(続き)

ホストベース侵入検知システムはHIDS(Host based Intrusion Detection System)とも呼ばれます.ホストそのものに対する攻撃パターンを検知して異常を通知します.ホスト自身に関するネットワークの監視に加えて,そのホスト上で行われている活動を監視して,異常を検知した場合に通知します.例えば,申請が出ていない時間帯に作業が行われていたり,通常よりも異常に負荷が高くなったり,アプリケーションに不正なリクエストが行われたり,ファイルが改ざんされたりするものなど,ホスト内部でなければ検知できないものを監視します.一般には,OSやアプリケーションのログをリアルタイムで走査し,異常状態を検知します.また,ファイルの改ざんや破壊を検知するものも含まれます.
 HIDSを特にNIDSと区別するばあい,HDISの機能にNIDSの機能が含まれないことがあります.単にHIDSと言った場合には,NIDSの機能は含まないものを指していると考えてよいでしょう.
 図 8-2にホストベースIDSの例を示します.



 HIDSはホストそれぞれに導入する必要があるため,ホストの台数が多い場合には設定や管理が煩雑になるため,NIDSが好まれる傾向にあります.しかし,HIDSはネットワークの監視だけではわからない,ホスト固有の状態を監視できるため,NIDSと合わせて利用するとより効果的になります.例えば, NIDSでは検知できない未知の攻撃方法を用いて,ファイルの書き換えが行われた場合などはHIDSでなければ攻撃は検知できません.
 IDSの製品は,攻撃のパターンをデータベースに持ち,通信内容とそれを比較して攻撃を検知するのが一般的です.この攻撃パターンをシグネチャと呼びます.
 IDSを設置すると,疑わしい状態はすべて通知されます.また,同じ攻撃が間断なく行われた場合にすべてを通知していると,受け取る側の処理があふれてしまうこともあります.そのため,IDSと呼ばれる製品にはどのような状態で通知すべきかを設定する項目が用意されているものが多いようです.意味の無い通知をどれだけ外し,多くの通知の中から以下にして本当の脅威を見つけ出すかということがIDSを運用する上で最も重要なポイントになります.通知する脅威レベルを上げてしまうと,小さな兆候を見逃すことになるかもしれませんし,通知する脅威レベルをあまり下げてしまうと,通知されることが多くなり,本当の脅威を見逃すことになるかもしれません.最初は通知のレベルを下げておいて,明らかに脅威ではないと判断できるものについては通知しないように設定していくというやり方で,徐々に設定を変更していくのも一つの方法です.
 IDSを運用する上で,もう一つ注意しなければならないことがあります.攻撃がなく,通知が無い静かな状態は望ましいことですが,IDSが正しく機能しているかどうかを確認しなければなりません.IDSそのものが障害を起こしていたり,内部の者によって機能が停止されていても,IDSを設置しているという安心感から,IDSそのものが機能していないことに気がつかないことがあります.このようなことが無いよう,定期的に擬似的な攻撃パターンを利用して, IDSの動作を確認しておくことが必要です.

(続く)

侵入検知システム(IDS)と侵入阻止システム(IPS)

章立てに沿って順番に書いていくと,私自身が飽きてくるので,適当に興味があるところから書いていきます.

侵入検知システム(IDS)と侵入阻止システム(IPS)

 車の盗難警報装置というのをご存知でしょうか.車にセンサーを搭載して,ある距離に人が近づいたり,車に触れると大きな音で警報を鳴らす装置です.情報セキュリティの分野でも同様の警報装置があります.それはIDS(Intrusion Detection System)と呼ばれる侵入検知の仕組みです.不正なアクセスの試みや,正しいアクセスを装った攻撃などを検知し,管理者に通知します.

 車の警報装置には,センサーが異常を検知すると同時に警備会社に通知し,警備員が駆けつけるというものも出てきました.車の持ち主が近くにいなくても,自動的に警備員が来て対応します.やはり同様に,情報セキュリティ分野では,IDP(Intrusion Detection and Protection System)あるいはIPS(Intrusion Protection System)と呼ばれる侵入阻止の仕組みがあります.検知するだけでなく,セキュリティ制御システムと連動して,ネットワークなどを通した侵入を遮断してしまうものです.

 以前は,IDSもIDP/IPSもいずれもまとめてIDSと呼ばれていましたが,最近では阻止機能がついたものを明確に区別するためにIDPあるいは IPSという言葉が使われるようになっています.IPSという用語が浸透してきたため,本書でもIPSという記述で統一することにします.
本章では,これらの二つについて区別して説明します.

侵入検知システム(IDS: Intrusion Detection System)

 侵入検知は「ネットワークベース侵入検知」と呼ばれるものと「ホストベース侵入検知」と呼ばれるものに大別されます.それぞれ文字通り,ネットワークを監視して不正なアクセスを検知するものとホスト自体で監視を行って不正アクセスを検知するものです.ログをとっておいて,後から分析するようなものは侵入検知とは呼びません.リアルタイムで侵入を検知するところがポイントです.

 ネットワークベース侵入検知システムはNIDS(Network based Intrusion Detection System)とも呼ばれます.ホスト以外のネットワーク機器(ルータ,ハブなど)に接続し,ネットワーク上を流れる情報を監視して異常を通知します.例えば,許可していないサービスへのアクセスが頻繁に起こったり,攻撃の調査のためにサービスを走査するようなパターン,脆弱性攻撃として既に知られているパターンなどをネットワーク上に流れる情報から検知します.

 一般にはネットワークを構成する機器とは別に,監視機器を設置し,異常なパターンを検知するとそれを何らかの方法を用いて監視者に通知します.ネットワークがファイアウォールなどで区切られている場合,ネットワークの監視はそれぞれのネットワーク単位で行うのが効果的です.外側だけでなく,内側の監視も行うべきです.攻撃は外部から来るとは限りませんし,何らかの技術を使って内側に侵入する方法があるかもしれません.例えば,メールの分割という手法がありますが,メールサーバによっては,その分割されたメールを再構築してからユーザに届けるという仕組みを持つものがあります.この方法は国際標準で定められているため,間違ったことをしているわけではありませんが,この方法を利用して,メールでの攻撃を行うなどの方法も実際に行われています.
 図 8-1に設置例を示します.



 図中の「DMZ」とは “DeMilitarized Zone”の略で,「非武装地帯」と訳されることもあります.しかし,無防備なわけではありませんから,「中立地帯」あるいは「緩衝地帯」と考えるのがよいでしょう.この分野では,外部のネットワークと内部のネットワークの中間に位置し,外部からの直接のアクセスを許すネットワークを「DMZネットワーク」と呼びます.では一つのファイアウォールが三つのネットワークを管理する図になっていますが,二つのファイアウォールDMZネットワークを挟み込む構成などでも同様です.

 この図の例では,三つのネットワークすべてにNIDSを設置しています.図では理解しやすくするために監視カメラの図を用いていますが,ネットワークの情報を監視するため,実際にはネットワーク機器に接続する,コンピュータの一種になります.

 予算などの都合で一つずつ順番に設置しなければならない場合には,何を何から守るのかを検討して,優先順位を決める必要があります.例えば,外部から内部への侵入を許したくないことが第一であれば,外部ネットワークから設置していくのがよいでしょう.DMZネットワークへの設置を最優先と記述している書籍もありますが,それではファイアウォールを完全に信頼していることになり,ファイアウォール自身の脆弱性を突かれて内部ネットワークへ直接行われる攻撃を検知することができません.内部ネットワークとDMZネットワークでは,内部からの脅威をどのように捉えるかによって優先度を決めます.外部ネットワークと内部ネットワークでは,外部からの攻撃の方がより可能性が高いと考えられるため,外部ネットワークへの設置を優先するのがよいでしょう.このような優先度を決める一義的な方法はありません.また,監視などの運用方法次第では,NIDSは必要ないということになるかもしれません.

(続く)

目次 - 情報セキュリティ解説

情報セキュリティ解説目次

この記事は,目次のために作成したもので,随時,更新していきます.また,予定は変更になる場合があります.気分で,順番を変えるかもしれません.つまり,既に書いているもの以外は当てにならん,ということです.せめて,コメントに何か書いていただければ,少しはやる気が出るんですが.(やめちまえ,とか書かれたりして...)

目次


    
1. 情報セキュリティ概要

      1.1 情報セキュリティとは
      (情報セキュリティとは(2))
    1.1.1 情報セキュリティ用語定義の標準(規格)
    1.1.2 情報セキュリティ用語の定義
          (情報セキュリティ用語の定義(2))
  1.2 情報資産とは
  1.3 セキュリティの分類
    1.3.1 対象による分類
      1.3.1.1 物理セキュリティ
      1.3.1.2 論理セキュリティ
      1.3.1.3 人的セキュリティ
      1.3.1.4 組織セキュリティ
    1.3.2 目的による分類
      1.3.2.1 予防セキュリティ
      1.3.2.2 臨床セキュリティ
      1.3.2.3 戦略セキュリティ
  1.4 脅威の分類
      (脅威の分類(2))





    
今後の予定

    


    
情報セキュリティに関する規格

    

  標準と標準化団体
  情報セキュリティに関する規格
  情報セキュリティの評価に関する規格






    
攻撃

    

  攻撃者の種類と行動
  攻撃の種類
  クラッカー






    
セキュリティポリシー

    

  セキュリティポリシー






    
ネットワークプロトコルのセキュリティ

    

  DoDモデル
  ネットワークアクセスのセキュリティ
  プロセス/アプリケーションのセキュリティ






    
暗号技術

    

  暗号技術の用語と要素
  暗号化方式の分類と比較
  ストリーム暗号
  ブロック暗号
  慣用(対称鍵)暗号
  非対象鍵暗号方式
  ハッシュ暗号方式

まだまだ続く...

脅威の分類(2)

前回「脅威の分類」の続きです.

脅威の分類 (2)

脅威の分類は,原因を元にした分類のほかに,攻撃の状態によって分類する方法もあります.JIS X 0008やJIS X 5004 では,以下のような脅威の分類を行っています.

能動的脅威(A: Active threat)
受動的脅威(P: Passive threat)

能動的脅威は,積極的に攻撃が行われるものを指します.車の例では,鍵をこじ開ける,窓ガラスを割るという行為やそれによって車が盗まれたり,車の中の物が盗まれたりすることを能動的脅威といいます.
受動的脅威は,見た目は何も変わっていないのに,いつの間にか情報が漏れるようなものを指します.車の例では,車そのものには触れずに,中の物を盗み見るなどの行為です.車の出入りをこっそり記録しておいて,所有者の行動パターンを分析することや,ゴルフバックなどを見つけて,個人の趣味を推測するような行為も場合によっては脅威になりますので,受動的脅威となります.
以下にJIS X 0008 およびJIS X 5004における定義を記載します.

「JIS X 0008:2001 情報処理用語 ― セキュリティ」より

08.05.05 能動的脅威(active threat)
データ処理システムの状態を,認可を得ずに意図的に変更する脅威.例 メッセージの変更,偽メッセージの挿入,なりすまし,又はサービスの妨害に結びつく脅威.

08.05.06 受動的脅威(passive threat)
データ処理システムの状態を変更することなく,情報を暴露する脅威.例 伝送されるデータの横取りによって,保護必要情報の復元がなされる脅威.」

「JIS X5004:1991(ISO 7498-2:1989) 附属書A OSI安全保護に関する予備知識」より

A.2.4.4 能動的脅威
システムを脅かす能動的脅威が発生すると,システムに格納されている情報が変わったり,システムの状態又は動作に変化が生じたりする.無許可の利用者がシステムの経路選択表を故意に変更した場合は,能動的脅威の一例である.

A.2.4.3 受動的脅威
受動的脅威は,それが発生しても,システムに格納されている情報は改変されず,システムの動作及び状態が変わらないような脅威をいう.通信回線を使って転送中の情報を観察するために受動的盗聴が行われた場合,受動的脅威が発生したといえる.

能動的脅威も受動的脅威も脅威という点には代わりはありませんが,個人情報の漏洩などは受動的脅威によるものが多いと思われます.つまり,コピーなどで情報を盗まれても状態が変わらないので,すぐには知ることができないということです.そこで,最近では,操作のログを採るなどして,状態が変化した(操作が行われた)ことを記録しようということが盛んに行われています.これは受動的脅威を能動的脅威に変えようということになります.
また,量子通信は,盗聴されると状態が変化するので,盗聴が行われたことがわかるという仕組みです.これも受動的脅威を能動的脅威に変えて検知しようという試みに他なりません.

今回で,情報セキュリティの概要は終わりです.このあとは,情報セキュリティの詳細に踏み込んで記述していきます.

脅威の分類(1)

脅威の分類

脅威にはどのようなものがあるのかを考えて見ます.
ここでまた車の例に戻って考えて見ましょう.自動車が晒される脅威にはどのようなものがあるでしょうか.まず盗難などが思い浮かびます.次に車の中を覗くという脅威があります.地震や洪水などの自然災害による脅威もあります.時には,部品に不具合があり,リコールが行われることもあります.テレビや映画に出てくるように,ブレーキに細工をして犯罪につなげるようなことも,おそらくあるでしょう.
こうした脅威を分類することで,脅威の本質的な原因がつかみやすくなります.そこで,脅威を以下のように分類します.

環境的脅威(E: Environmental threat)
人為的脅威(H: Human-induced threat)
意図的脅威(D: Deliberate threat)
偶発的脅威(A: Accidental threat)

環境的脅威は,自然災害などの文字通り環境によってもたらされる脅威です.人為的脅威は人の行為によってもたらされる脅威で,これはさらに意図的脅威と偶発的脅威に分類されます.意図的脅威は,いわば悪意によって行われる脅威で,盗難や覗き見などが相当します.偶発的脅威とは,意図的脅威とは反対に,偶然などで発生する脅威で,リコールなどの部品の不具合が相当します.
この分類は,JIS X 0036-3(ISO/IEC 13335-3)付属書Cで記述されている分類です.同書には脅威の例と分類のどれに当てはまるかを示した記述がありますので,表にしてみました.なお,同書では,「意図的脅威」を「故意的脅威」と表現しています.

表 1-1 脅威と分類

D:故意的脅威,A:偶発的脅威,E:環境的脅威

項目DAE
地震  
洪水
台風  
落雷  
争議行動 
爆破行為 
武器の使用 
火事 
故意の損害  
停電  
断水  
空調故障 
ハードウェアの故障  
電力の不安定 
極端な温度および湿気
ほこり 
電磁波放射
電荷  
盗難  
記憶媒体の不正使用  
記憶媒体の劣化  
操作員のエラー 
保守のエラー 
ソフトウェアの故障 
不正なユーザによるソフトウェアの使用 
不正な方法でのソフトウェアの使用 
ユーザIDの偽り  
ソフトウェアの違法な使用 
悪意のあるソフトウェア 
違法なソフトウェアの輸入/輸出  
不正なユーザによるネットワークへのアクセス  
不正な方法でのネットワーク設備の使用  
ネットワーク構成要素の技術的障害  
送信エラー  
回線の損傷 
トラフィックオーバーロード 
盗聴  
通信への侵入  
トラフィック分析  
メッセージの経路選択の誤り  
メッセージの経路変更  
否認  
通信サービス(ネットワークサービス)の障害 
スタッフ不足  
ユーザのエラー 
資源の誤用 
(出展:JIS TR X0036-ITセキュリティマネジメントのガイドライン(ISO/IEC TR 13335-3:1998)付属書C)

意図的脅威と偶発的脅威は,JIS X5004:1991(ISO 7498-2:1989) 附属書A 「OSI安全保護に関する予備知識」の中でも定義されています.

A.2.4.1偶発的脅威
偶発的脅威とは,計画的な意図によらずに発生した脅威を言う.現実に発生した偶発的脅威の例は,システムの故障,誤操作及びソフトウェアのバグがある.
A.2.4.2意図的脅威
意図的脅威は,簡単に利用できる監視ツールを利用して行う普通の試験から,システムに関する専門的な知識による複雑な脅威までを含む.意図的脅威が実現される場合,それは攻撃とみなしてもよい.

このように,脅威の原因を元に分類しました.脅威の種別を分類することで,対策の方法を考える助けになります.