最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き~東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」~Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり~米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応~JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【レポート】

~個人向けIDSソフト「BlackICE」を発売したISSにIDSの現状を聞く

「パッチが当てきれない問題」を解決するには?

■URL
http://www.isskk.co.jp/

 インターネットの普及にともない、セキュリティ対策の重要性が言われるようになって久しい。私たちが日常的に使うルータでもセキュリティ機能の重要さがセールスポイントとなり、コンシューマレベルでも「ファイアウォール」という言葉が一般化した。

 そしてファイアウォールと並ぶ対策の1つとして重要さを増す「IDS」をご存じだろうか?今回は、IDS製品を開発・販売するインターネット セキュリティ システムズ(以下、ISS)の担当者である小倉秀敏氏と奥村博子氏に話を伺った。

■ファイアウォールだけでは防ぎきれない攻撃


 IDSとは、「Intrusion Detection System」の略称。通信パケットの中身を監視し、不正侵入やソフトウェアのセキュリティホールを狙った攻撃を判別、必要によっては攻撃元からの通信を遮断するシステムのことだ。

 たとえば悪意あるソフトウェアを使ったポートスキャン攻撃などは、ファイアウォールで防げる。しかし、Webページにかけられた認証を攻撃者が解除するために、ユーザーID・パスワードを数千回数万回に渡って入力し続ける行為などは、通常のWebアクセスと同様のHTTPプロトコルで行なわれるので、ほとんどの場合ファイアウォールを素通りしてしまう。このような、ファイアウォールでは防ぎにくい攻撃を検知・防御するのがIDSの役割で、ファイアウォールと併設されることが多い。

 ISSでは「RealSecure」というIDS機器を販売しており、それにIDS動作状態の遠隔監視や、ユーザー側担当者への通報といった運用サービスをセットにした「マネージド セキュリティ サービス(MSS)」を取り扱っている。

 MSSは、ISSの監視センターでログを常時、有人で監視するというもの。監視センターでは、顧客企業のファイアウォールやIDSの監視はもちろんのこと、緊急事態には設定の変更なども行なって防御する。物理的なセキュリティ面に関しても、入退室管理が何重にも渡るほか、無線による攻撃を防ぐための無線をシャットアウトする壁や空調、防音など、さまざまな面が考慮されて設計されているという。

 監視センターには、365日24時間体制で監視を行なうエンジニアが、6~7人程度常駐する。エンジニアは、全て特殊教育を受けた正社員のみで構成される。通常の部署と同様に数段階の役職に分かれているが、上に上がるためには専門の試験に合格しなければならず、管理者は攻撃の分析や解析まで行なえる技術を持っていなければならないとのこと。作業は、「監視しか行なえない者」や「監視と設定変更ができる者」、「設定変更に加えて、分析も行なえる者」など職務権限を明確に分けることにより、責任の所在も明確にしているという。

 実際のポリシー変更などを行なう際には、紙のチェックシートを用いて複数人数立会いのもとで行なわなければならないという。ISSの担当者は、「意外に思われるかもしれないが、設定変更の際などはミスを極力減らすために、“複数人数”と“チェックシート”というやや原始的な手法を用いている。しかし、この方法が一番ミスが少ない」と語った。

ISSの監視センターの様子。モニターにFWやIDSの状況が刻々と映し出されている家庭PCでのコントロール画面

■大企業中心から中小企業への進出


 MSSなどの有人による監視サービスはコスト面の問題などから、従来、大企業をメインとして必要性が生じていたが、ISSでは3月にMSSに相当するサービスをより安価に導入できるプラン「シャットアウト」を発表した。

 小倉氏によるとシャットアウトは、単純にMSSを低価格化したエントリー製品ではない。「大企業であっても支店・出先機関のネットワークは、数人の従業員がいるだけの場合が多く、フルレベルのMSSではコストパフォーマンスが悪い。またユーザー側にも、セキュリティに関する一定のスキルが要求される。しかし、ウイルスやワームに対する危険性はこれらの支店においても本店同様に高く、実際のユーザーリサーチでも小規模向けネットワークに対するIDSの要求が強かった」という。また当然ながら中小企業向けのサービスという側面もあるとのこと。

 IDSは前述の通り、大規模ネットワークのゲートウェイ部分に設置され、通過するパケットを監視する。だが「支店の営業担当者のノートパソコンからSlammerワームが侵入、VPNを経由して本社にまで感染したケースが事実あった」ということから、小規模のネットワークでもIDSの必要性が高まっている。

 なお、シャットアウトでも基本的に検知内容はMSSと変わらない。24時間の有人監視などサービスは同じままである。ただし、通常ユーザー側との打ち合わせによって確定させるセキュリティポリシーの設定を、あらかじめ一律にチューニングしておき、選任担当者がいない事業所でも容易に導入できるよう配慮したり、保険金額が減額されているなどの対応などによりコスト削減が図られた結果、MSSより安価に提供できるのだという。

■検知ミスへの対処は


 一方で、IDSでは“誤検知”が懸念されている。極端な例を挙げると、検知の方針設定によっては、正規ユーザーが些細なパスワード入力ミスを犯した場合でも、試行した回数によっては不正な行為として検知され、管理者側の手間を煩わせる可能性がある。それだけに、適切な検知方針に関する設定が難しいとの声があるのも事実だ。

 この誤検知について小倉氏は「完全にはなくせない」と語った。ただし、これらの状況は、MMSの監視下ではある程度カバーできるという。「以前、DNSサーバーに対して長いホスト名を送ると、攻撃できてしまうという問題があった。しかし、実際にパケットの中身を見れば、本当に長いホスト名なのか、入力間違いなのか、攻撃なのかはわかる」とし、ISSの有人監視下では、誤検知のデメリットが減少することを強調した。

■不正侵入検知は個人PCでも必要か


 またISSでは個人向けのIDS製品も提供している。アクト・ツーが発売するソフトウェア「RealSecure BlackICE PC Protection」がそれだ。特徴として、法人向けIDSである「RealSecure」のエンジン部分が採用されていることが挙げられる。

 今日、個人向けPCレベルのセキュリティでは、ウイルス対策もしくはパーソナルファイアウォールソフトに留まっているのが現状。「果たしてIDSまで必要があるか?」との問いについては「Webサーバーを個人レベルで動作させることも多く、一般的なWindowsでも外部向けのポートが解放されている。なにより攻撃そのものはユーザー側のシステム構成に関係なく無作為だ」(小倉氏)と答えた。

 実際にBlackICE PC ProtectionをインストールしたPCでは、現在でもSlammerによる攻撃が多発していることがモニターできるという。ISSの奥村博子氏は、IDSの必要性を個人向けに啓蒙するだけでなく、体験版なども積極的に配布していきたい意向を述べた。

■最終的に、一番のセキュリティホールは人間


(左)奥村 博子氏
(右)小倉 秀敏氏

 「セキュリティホールに対してはパッチを当てればよい」と言うのが、現在の我々が多く共有する認識である。しかし企業レベルにおいては、矢継ぎ早やにパッチがリリースされても、導入によって本来のサービスに支障がないかを検証する作業が必要なため、対応しきれない現状があるのだという。それに対して、侵入そのものを検知し、感染を防ごうという発想を実現するのがIDSだというのが、小倉氏と奥村氏の見解だ。

 これらの「パッチが当てきれない問題」は、いつか個人レベルにも及ぶことかもしれない。そして小倉氏がよくある言葉として引用してくれた「一番のセキュリティホールは人間」ということ。我々も今のうちからセキュリティに対する認識をより深め、将来の脅威に備えなければならない。

◎関連記事
アクト・ツー、不正侵入検知・防御ソフト「BlackICE」の個人向け製品

(2003/4/4)

[Reported by 森田秀一]

INTERNET Watchホームページ

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.