Loading AI tools
本稿では、侵入検知システム、およびこれと関連が深い侵入防止システムについて述べる。侵入検知システム(しんにゅうけんちシステム。Intrusion Detection System。略して IDS)はシステムやネットワークに発生するイベントを監視し、それを分析する事で、ホストやポートをスキャンするような偵察行為や不正侵入などインシデントの兆候を検知し、管理者に通知するシステムである[1][2]。一方侵入防止システム(しんにゅうぼうしシステム、英: Intrusion prevention system 略称: IPS)も不正侵入の兆候を検知するところまではIDSと同様だが、検知した不正を自動的に遮断するところに違いがある。両者を合わせてIDPSという場合もある[3]。
IDPSは誤検知を起こす事があるので、誤検知を減らすようIDPSの設定を変更してチューニングする必要がある[4]。特にIPSの場合、正常な侵入を遮断してしまうとシステムの動作に問題が生じる可能性があるので、誤検知が少なくなるようより保守的なチューニングが必要になる。
IDPSは「しばしば攻撃にさらされる事が多いので、その構成要素を保護する事は非常に重要である」[5]。
IDPSは主に以下の用途で用いられる:
IDPSの多くは以下の機能を備えている:
- イベントの監視、解析、および望ましくない活動の識別機能[4]
- 観測したイベントに関する情報の記録[4]:ローカルな記録機能はもちろん、SIEMやエンタープライズ管理システムと連携してそれらで情報を統合管理できる機能がある場合がある[4]。
- 観測した重要なイベントをセキュリティ管理者に通知(アラート)する機能[4]:通知方法としてはメール、ページャ、専用UI、SNMPトラップ、syslog、ユーザスクリプト利用などがある[4]。
- 報告書の作成機能[4]:監視イベントの概要、注目すべきイベントの詳細情報などの報告書を生成する[4]。
さらに次の機能を備えている場合もある:
- セキュリティプロファイルの更新機能[4]:例えば、悪意のある通信を検知した場合のみ通常より詳細に情報収集したり、事前に設定された特定のトリガに合致した場合のみアラートの優先度を変えたりする機能[4]。
IPSの場合は攻撃阻止機能も備えており、阻止方法としては以下のものがある:
- IPS自身による攻撃阻止[4]:攻撃と判断されたネットワーク接続やユーザセッションの終了、攻撃者のものと判断されたユーザアカウントやIPアドレスの遮断、攻撃の標的になったホスト、サービス、アプリケーションなどのリソースの遮断[4]。
- 他の機器のセキュリティ設定の変更[4]:例えばルータやスイッチのようなネットワーク装置や(ホストベースないしネットワークベースの)ファイヤーウォールのルールのルールを変更して攻撃を遮断したり、パッチを自動適用したりする[4]。
- 攻撃の無害化[4]:例えばマルウェアと判断された添付ファイルを電子メールから除去したり、プロキシとして機能して通信のヘッダ情報を破棄してペイロードをパッケージ化するような正規化の作業を行ったりするなど[4]。
IDPSは主に以下の構成要素からなる:
| 名称 | 概要 |
|---|---|
| センサーないしエージェント | 活動の監視と分析を行う構成要素。センサーという名称はネットワーク監視のものに、エージェントという名称はホストを監視するものに用いる[7]。ソフトウェアとして提供される場合とアプライアンスとして提供される場合がある。 |
| 管理サーバ | センサーやエージェントが得た情報を一元収集し、複数のセンサーやエージェントが収集した情報を突合して分析する(相関分析)事で、元にセンサーやエージェント単体では特定できないイベントを特定する[7]。 |
| データベースサーバ | センサー、エージェント、管理サーバの特定したイベント情報を保存する[7]。 |
| コンソール | IDPSの管理者やユーザにユーザインターフェースを提供する[7]。IDPSの設定管理専用のコンソールと監視・分析専用のコンソールが分かれている場合もある[7]。 |
センサーやエージェントには、そこで利用されているOSのバージョンなどの情報収集機能が備わっている場合がある[7]。
なお、ログはローカルと集中ログサーバの両方に保管する事がデータの完全性と可用性の観点から望ましい[7]。また正しい分析を行うには、ログはNTPなどを用いる事で全ての構成要素間で時刻の整合性を取る必要がある[7]。
IDPSの構成要素間の通信は、組織の標準ネットワークを利用する場合と、IDPSなどの管理専用ネットワークを利用する場合がある。後者の方がIDPS自身が攻撃を受ける危険を避けられる上、標準ネットワークが攻撃等により正常に動作しない場合でも監視や分析が可能だという利点があるが、その分コストが増大する[7]。なお、コストを抑えつつ管理ネットワークだけ分離する方法として、VLANで標準ネットワークと管理ネットワークを分離する方法があるが[7]、VLANによる分離は物理的な分離ほど安全性面の効果が得られない上、標準ネットワークと管理ネットワークは物理ネットワークを共有しているので、物理的分離よりネットワークが飽和する危険が高い[7]。
オープンソースのIDPS であるSnortを例に管理サーバの中身を解説すると、以下のようになっている[8]:
| 名称 | 概要 |
|---|---|
| パケットキャプチャ部 | ネットワーク上を流れるパケットを収集する |
| プリプロセッサ部 | キャプチャしたパケットを正規化する。正規化の目的は解析を楽にすることと、攻撃者による検知回避を防ぐ為である。 |
| 検知エンジン部 | 正規化されたパケットを相関分析する。 |
| アウトプットプロセッサ部 | パケットが攻撃だと判断された場合、管理者にアラートをあげる。 |
各種IDPSではパケットキャプチャには例えばpcap 、BPF等が使われる[8]。また商用のIDPSでは大量のトラフィックを処理できるようにするため、専用のNICを用いている物が多い[8]。
IDPSは以下の4種類に分類できる[3]:
| 分類 | センサー・エージェントの主な設置・インストール場所 | 主な検知イベント | 備考 | 技術的制約 |
|---|---|---|---|---|
| ネットワークベースIDPS | ネットワーク境界[9] |
|
| |
| 無線IDPS | 監視対象の無線ネットワークの通信範囲内や、無許可の無線ネットワーク活動が行われている懸念のある場所[9] |
|
||
| NBA(Network Behavior Analysis) | 組織内ネットワークフローの監視ができる場所、もしくは組織内と外部ネットワークの間の通信フローの監視ができる場所[9] | |||
| ホストベースIDPS | 攻撃を受けやすい公開サーバや機密情報が置かれているサーバなどの重要ホスト[9]。その他PCのようなクライアントホストやアプリケーションサービスにもインストールされる[27]。 |
|
ネットワークベースのIDPSとNBAはどちらもネットワークを監視する点では共通しているが、前者は主に組織LANと外部ネットワークの境界などネットワーク境界に設置され、境界をまたぐ通信を監視するのに対し、NBAは組織LAN内に設置され、LAN内の通信を監視する点に違いがある。
ネットワークベースIDS、IPSを略してそれぞれNIDS、NIPSと呼ぶ。同様にホストベースIDS、IPSをそれぞれ略してHIDS、HIPSという。
ネットワークベースのIDPSのセンサー設置方法としては、監視対象の通信が必ず通る場所にIDPSを設置するインライン型と[33]、監視対象の通信が必ず通る場所にスパニングポート、ネットワークタップ、IDSロードバランサ等を設置する事で監視対象の通信をコピーし、コピーした通信をIDPSで監視する受動型がある[33]。攻撃の遮断や回避のようなIPSとしての機能を利用する場合はインライン型が必須である[33]。
インライン型の場合、ファイヤーウォールが攻撃と考えられる通信を遮断するのでファイヤーウォールの前に設置するか後ろに設置するかで取得できる情報や、IDPSへの負荷が異なる。ファイヤーウォール前後両方を監視するためにIDPS機能とファイヤーウォール機能がハイブリッドになった製品もある[33]。
受動型はネットワークの複数箇所の通信をコピーして集約した上で解析できるという利点がある。例えばファイヤーウォールの前後およびDMZの通信を全てコピーして解析するといった行為が可能になる[33]。
IDPSの検知手法として以下のものがある。
| 方法 | 概要 | 長所 | 短所 |
|---|---|---|---|
| シグナチャベース | 攻撃と考えられるパターンを正規表現などで記載した「シグナチャ」事前登録し、シグナチャに基づいて攻撃を判断する[34]。 |
|
|
| 正常な挙動を学習してプロファイルを作り、そのプロファイルに基づいて異常な通信を検知する。運用開始時に数日から数週間程度、プロファイルの学習期間が必要[34]。 |
|
| |
| ステートフルプロトコル解析 | ネットワークやアプリケーションのプロトコルのうち、正常と判断するものを定義済プロファイルに事前登録。実際の通信の状態(ステート)を管理しながらやりとりを追跡し、このプロファイルから逸脱した通信を特定する[34]。具体的には例えば、個別コマンドの入力値の長さやフォーマットをチェックする[34]。 |
|
アノマリベースのものは、管理者が明示的に変更しない限り同一のプロファイルを使い続ける静的プロファイル型と自動的にプロファイルを更新する動的プロファイル型に細分できる[34]。動的プロファイル型は管理者が定期的にプロファイルをメンテナンスする手間が静的プロファイル型より少ないという利点があるものの、人間による見直しが発生する静的プロファイルよりも動的プロファイルのほうが攻撃者がIDPSを回避しやすいという弱点もある[34](例えばプロファイルの動的更新に引っかからないほどゆっくり攻撃者が攻撃活動を増加させるなど[34])。
以上で述べた各検知手法は下記のような異常検知基準を利用する事が多い[35]:
| 方法 | しきい値 | ブラックリスト・ホワイトリスト |
|---|---|---|
| シグナチャベース | ○ | |
| アノマリベース | ○ | |
| ステートフルプロトコル解析 | ○ | ○ |
アラートのオン・オフ、デフォルトの優先度、通知方法、ログに記録する内容、アラートに対する対処方法はコンソールで設定できるIDPSがほとんどである[35]。
またIDPSはシグナチャやプロファイルの編集機能や、プロファイル作成スクリプトの編集機能を備えている事もある[35]。
- ペネトレーションテスト - 脆弱性が残っていないかを確認する侵入テスト
- 無線侵入防止システム
- Snort:オープンソースのNIDS
- 異常検知
- データマイニング
- 人工免疫システム
- 統合脅威管理 (UTM: Unified threat management)
- Moloch モレク[36]:オープンソースのIDS
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
