~個人向けIDSソフト「BlackICE」を発売したISSにIDSの現状を聞く
「パッチが当てきれない問題」を解決するには?
インターネットの普及にともない、セキュリティ対策の重要性が言われるようになって久しい。私たちが日常的に使うルータでもセキュリティ機能の重要さがセールスポイントとなり、コンシューマレベルでも「ファイアウォール」という言葉が一般化した。
そしてファイアウォールと並ぶ対策の1つとして重要さを増す「IDS」をご存じだろうか?今回は、IDS製品を開発・販売するインターネット セキュリティ システムズ(以下、ISS)の担当者である小倉秀敏氏と奥村博子氏に話を伺った。
■ファイアウォールだけでは防ぎきれない攻撃
IDSとは、「Intrusion Detection System」の略称。通信パケットの中身を監視し、不正侵入やソフトウェアのセキュリティホールを狙った攻撃を判別、必要によっては攻撃元からの通信を遮断するシステムのことだ。
たとえば悪意あるソフトウェアを使ったポートスキャン攻撃などは、ファイアウォールで防げる。しかし、Webページにかけられた認証を攻撃者が解除するために、ユーザーID・パスワードを数千回数万回に渡って入力し続ける行為などは、通常のWebアクセスと同様のHTTPプロトコルで行なわれるので、ほとんどの場合ファイアウォールを素通りしてしまう。このような、ファイアウォールでは防ぎにくい攻撃を検知・防御するのがIDSの役割で、ファイアウォールと併設されることが多い。
ISSでは「RealSecure」というIDS機器を販売しており、それにIDS動作状態の遠隔監視や、ユーザー側担当者への通報といった運用サービスをセットにした「マネージド セキュリティ サービス(MSS)」を取り扱っている。
MSSは、ISSの監視センターでログを常時、有人で監視するというもの。監視センターでは、顧客企業のファイアウォールやIDSの監視はもちろんのこと、緊急事態には設定の変更なども行なって防御する。物理的なセキュリティ面に関しても、入退室管理が何重にも渡るほか、無線による攻撃を防ぐための無線をシャットアウトする壁や空調、防音など、さまざまな面が考慮されて設計されているという。
監視センターには、365日24時間体制で監視を行なうエンジニアが、6~7人程度常駐する。エンジニアは、全て特殊教育を受けた正社員のみで構成される。通常の部署と同様に数段階の役職に分かれているが、上に上がるためには専門の試験に合格しなければならず、管理者は攻撃の分析や解析まで行なえる技術を持っていなければならないとのこと。作業は、「監視しか行なえない者」や「監視と設定変更ができる者」、「設定変更に加えて、分析も行なえる者」など職務権限を明確に分けることにより、責任の所在も明確にしているという。
実際のポリシー変更などを行なう際には、紙のチェックシートを用いて複数人数立会いのもとで行なわなければならないという。ISSの担当者は、「意外に思われるかもしれないが、設定変更の際などはミスを極力減らすために、“複数人数”と“チェックシート”というやや原始的な手法を用いている。しかし、この方法が一番ミスが少ない」と語った。
 |
 |
| ISSの監視センターの様子。モニターにFWやIDSの状況が刻々と映し出されている家庭PCでのコントロール画面 | |
■大企業中心から中小企業への進出
MSSなどの有人による監視サービスはコスト面の問題などから、従来、大企業をメインとして必要性が生じていたが、ISSでは3月にMSSに相当するサービスをより安価に導入できるプラン「シャットアウト」を発表した。
小倉氏によるとシャットアウトは、単純にMSSを低価格化したエントリー製品ではない。「大企業であっても支店・出先機関のネットワークは、数人の従業員がいるだけの場合が多く、フルレベルのMSSではコストパフォーマンスが悪い。またユーザー側にも、セキュリティに関する一定のスキルが要求される。しかし、ウイルスやワームに対する危険性はこれらの支店においても本店同様に高く、実際のユーザーリサーチでも小規模向けネットワークに対するIDSの要求が強かった」という。また当然ながら中小企業向けのサービスという側面もあるとのこと。
IDSは前述の通り、大規模ネットワークのゲートウェイ部分に設置され、通過するパケットを監視する。だが「支店の営業担当者のノートパソコンからSlammerワームが侵入、VPNを経由して本社にまで感染したケースが事実あった」ということから、小規模のネットワークでもIDSの必要性が高まっている。
なお、シャットアウトでも基本的に検知内容はMSSと変わらない。24時間の有人監視などサービスは同じままである。ただし、通常ユーザー側との打ち合わせによって確定させるセキュリティポリシーの設定を、あらかじめ一律にチューニングしておき、選任担当者がいない事業所でも容易に導入できるよう配慮したり、保険金額が減額されているなどの対応などによりコスト削減が図られた結果、MSSより安価に提供できるのだという。
■検知ミスへの対処は
一方で、IDSでは“誤検知”が懸念されている。極端な例を挙げると、検知の方針設定によっては、正規ユーザーが些細なパスワード入力ミスを犯した場合でも、試行した回数によっては不正な行為として検知され、管理者側の手間を煩わせる可能性がある。それだけに、適切な検知方針に関する設定が難しいとの声があるのも事実だ。
この誤検知について小倉氏は「完全にはなくせない」と語った。ただし、これらの状況は、MMSの監視下ではある程度カバーできるという。「以前、DNSサーバーに対して長いホスト名を送ると、攻撃できてしまうという問題があった。しかし、実際にパケットの中身を見れば、本当に長いホスト名なのか、入力間違いなのか、攻撃なのかはわかる」とし、ISSの有人監視下では、誤検知のデメリットが減少することを強調した。
■不正侵入検知は個人PCでも必要か
またISSでは個人向けのIDS製品も提供している。アクト・ツーが発売するソフトウェア「RealSecure BlackICE PC Protection」がそれだ。特徴として、法人向けIDSである「RealSecure」のエンジン部分が採用されていることが挙げられる。
今日、個人向けPCレベルのセキュリティでは、ウイルス対策もしくはパーソナルファイアウォールソフトに留まっているのが現状。「果たしてIDSまで必要があるか?」との問いについては「Webサーバーを個人レベルで動作させることも多く、一般的なWindowsでも外部向けのポートが解放されている。なにより攻撃そのものはユーザー側のシステム構成に関係なく無作為だ」(小倉氏)と答えた。
実際にBlackICE PC ProtectionをインストールしたPCでは、現在でもSlammerによる攻撃が多発していることがモニターできるという。ISSの奥村博子氏は、IDSの必要性を個人向けに啓蒙するだけでなく、体験版なども積極的に配布していきたい意向を述べた。
■最終的に、一番のセキュリティホールは人間
 |
|
(左)奥村 博子氏 |
これらの「パッチが当てきれない問題」は、いつか個人レベルにも及ぶことかもしれない。そして小倉氏がよくある言葉として引用してくれた「一番のセキュリティホールは人間」ということ。我々も今のうちからセキュリティに対する認識をより深め、将来の脅威に備えなければならない。
◎関連記事
■アクト・ツー、不正侵入検知・防御ソフト「BlackICE」の個人向け製品
(2003/4/4)
[Reported by 森田秀一]