侵入検知システム(IDS: Intrusion Detection System) (2)

(続き)

ホストベース侵入検知システムはHIDS(Host based Intrusion Detection System)とも呼ばれます．ホストそのものに対する攻撃パターンを検知して異常を通知します．ホスト自身に関するネットワークの監視に加えて，そのホスト上で行われている活動を監視して，異常を検知した場合に通知します．例えば，申請が出ていない時間帯に作業が行われていたり，通常よりも異常に負荷が高くなったり，アプリケーションに不正なリクエストが行われたり，ファイルが改ざんされたりするものなど，ホスト内部でなければ検知できないものを監視します．一般には，OSやアプリケーションのログをリアルタイムで走査し，異常状態を検知します．また，ファイルの改ざんや破壊を検知するものも含まれます．
　HIDSを特にNIDSと区別するばあい，HDISの機能にNIDSの機能が含まれないことがあります．単にHIDSと言った場合には，NIDSの機能は含まないものを指していると考えてよいでしょう．
　図 8-2にホストベースIDSの例を示します．

　HIDSはホストそれぞれに導入する必要があるため，ホストの台数が多い場合には設定や管理が煩雑になるため，NIDSが好まれる傾向にあります．しかし，HIDSはネットワークの監視だけではわからない，ホスト固有の状態を監視できるため，NIDSと合わせて利用するとより効果的になります．例えば， NIDSでは検知できない未知の攻撃方法を用いて，ファイルの書き換えが行われた場合などはHIDSでなければ攻撃は検知できません．
　IDSの製品は，攻撃のパターンをデータベースに持ち，通信内容とそれを比較して攻撃を検知するのが一般的です．この攻撃パターンをシグネチャと呼びます．
　IDSを設置すると，疑わしい状態はすべて通知されます．また，同じ攻撃が間断なく行われた場合にすべてを通知していると，受け取る側の処理があふれてしまうこともあります．そのため，IDSと呼ばれる製品にはどのような状態で通知すべきかを設定する項目が用意されているものが多いようです．意味の無い通知をどれだけ外し，多くの通知の中から以下にして本当の脅威を見つけ出すかということがIDSを運用する上で最も重要なポイントになります．通知する脅威レベルを上げてしまうと，小さな兆候を見逃すことになるかもしれませんし，通知する脅威レベルをあまり下げてしまうと，通知されることが多くなり，本当の脅威を見逃すことになるかもしれません．最初は通知のレベルを下げておいて，明らかに脅威ではないと判断できるものについては通知しないように設定していくというやり方で，徐々に設定を変更していくのも一つの方法です．
　IDSを運用する上で，もう一つ注意しなければならないことがあります．攻撃がなく，通知が無い静かな状態は望ましいことですが，IDSが正しく機能しているかどうかを確認しなければなりません．IDSそのものが障害を起こしていたり，内部の者によって機能が停止されていても，IDSを設置しているという安心感から，IDSそのものが機能していないことに気がつかないことがあります．このようなことが無いよう，定期的に擬似的な攻撃パターンを利用して， IDSの動作を確認しておくことが必要です．

(続く)