外部からの不正アクセス対策としてファイアウォールがありますが、それを通過して社内ネットワークに侵入したときの対策にIDSがります。IDSは不正アクセスだけでなくトラブルの監視にも使われます。
IDS、ホスト型、ネットワーク型、ファイル監視型,シグネチャ監視型,異常検出型、IPS、LANアナライザ、ミラーポート、SNMP、MRTG、MIB、ログ管理、ディジタルフォレンジクス、ぺネトレーションテスト、ファジング、ハニーポット
IDS(Intrusion Detection System;侵入検知システム)
ファイアウォールを設置しても,いろいろなセキュリティホールを潜り抜けて不正アクセスが侵入してきます。IDSは、サーバやネットワークを監視し,侵入や侵害を検知した場合に管理者へ通知する仕組みです。
IDSは,ホストの状態を監視するホスト型とネットワークを流れるパケットを監視するネットワーク型に区分できます。また,何をどのように監視するのかにより,ファイル監視型,シグネチャ監視型,異常検出型などに区分できます。
ホスト型 ネットワーク型
ファイル型 ○
ネットワーク型 ○
異常検出型 ○ ○
- ホスト型・ファイル型
- WebサーバやDPサーバなど対象となるホストにツールをインストールしておき,そのホストが持つファイルについて、不正な参照、改ざん、破壊などを監視します。Webページ改ざんや個人情報流出などの検出に用いられます。
- ネットワーク型・シグネチャ型
- ネットワーク型とは、専用の装置を監視対象ネットワーク(セグメント)に設置し、そのセグメントに流れるパケットを監視する方式です。
シグネチャ型とは、ウイルスソフトと同じように攻撃パターンの特徴をシグネチャという情報として登録しておき,ネットワーク上のパケットにそのシグネチャと同じものがきたら攻撃されていると判定します。
- 異常検出型(ホスト型,ネットワーク型)
- ホストやネットワークのトラフィック量などの正常な許容範囲を設定しておき,MRTGなどによる統計的な値がそれを逸脱したら警報を発します。異常にトラフィックが増大したらDoS攻撃を受けている危険がありますし,異常にCPUの稼働率が増大したら不正プログラムが実行されている危険があります。
- ネットワーク型のステルス化
ネットワーク型IDSの存在が外部に知られると、IDS自体が直接の攻撃の対象になってしまうことがあります。それで、ネットワークインターフェイスに対してIDS自身を見えなくしておく必要があります。それをステルスモードといいます。
- VPN環境ではホスト型IDS
VPN環境ではパケットが暗号化されているので、ネットワーク型IDSではパケットが復号後に通過するネットワーク上に設置する必要があります。それには既存のネットワーク構成を変更する必要があるので、VPN環境では一般にホスト型IDSが利用されます。
IPS(Intrusion Prevention System、侵入防止システム)
IDSは侵入の検知が主ですが、IPSは、ファイアウォールなどと連携して不正パケットを拒否する機能をもっています。DoS攻撃などを検知したらリアルタイムな防御を行うステムへと発展してきました。
ネットワーク型IPSでは、侵入を検知したらこれを遮断し、管理者へ通知し、記録をとります。ホスト型IPSでは、バッファオーバーフロー攻撃や管理者権限取得攻撃などに対してOSレベルで防げるように、通常のOSよりも強力な機能を提供します。
IDSの技術
LANアナライザ
LANアナライザとは、LANを通過するトラフィックを監視したり記録するためのハードウェアやソフトウェアのことで、ネットワーク障害の原因調査やセキュリティ対策に利用します。
正規のポート以外に臨時のポート(ミラーポート)を設置して、正規のポートを通過するパケットをスイッチによりミラーポートにも送ることができます。LANアナライザをミラーポートに設置することにより、LANアナライザの負荷や誤操作による正規の処理への影響を防ぐことができます。
しかし、LANアナライザにはネットワークを通過するパケットを表示できるものがあるので、盗聴などに悪用されないように注意する必要があります。
LAN管理プロトコル
- SNMP(Simple Network Management Protocol)
- SNMPとは,TCP/IPでのLAN管理のプロトコルです。
LANを構成する機器のことをエージェントといい,SNMPでそれらを管理するツールをマネージャといいます。エージェントは,ネットワークインタフェース,経由したパケット量,エラーパケットの量,機器の温度などの情報をMIB(Management Infomation Base)という形式で持っています。これらの情報は標準以外に負荷状況や稼働率なども設定できます。
エージェントへのログイン情報により不正アクセスの検出、エラーパケット量の異常増加から不正侵入の事前行動などが発見できます。
マネージャがエージェントにリクエスト(get-request)すると,エージェントは応答(get-response)してMIBデータをマネージャに戻します。また,マネージャはエージェントに管理情報の変更をするのをset-requestといい,異常発生をエージェントからマネージャに知らせるのをtrapといいます。
- MRTG(Multi Router Traffic Grapher)
- MRTGとは,SNMP機能を持つとともに,MIB情報を最大値・最小値・平均値などの統計値をグラフ化して表示する機能を持っています。
- tcpdumpコマンド
- tcpdumpはUNIXのコマンドで,パケットキャプチャツールです。LANのネットワークを流れているパケットを収集することにより,そのパケットのTCPヘッダやIPヘッダを分析することができます。
これらはLAN管理に不可欠なツールですが,逆にこの情報が第三者に漏洩すると,深刻なセキュリティホールになってしまう危険があります。
ログ管理
ログ管理
アクセスのログを採取して分析することは、利用状況の把握をするためだけでなく、セキュリティ対策として重要です。
不正侵入は,まずログインを試みることから始まります。正規の利用者ならば、自分のパスワードや対象となるファイルの存在を知っているので1回で成功するでしょうが,不正者は試行錯誤で探すので、失敗に終わった試みの回数が多ければ、不正アクセスが行われていると判断できます。
また、機密データに対する利用者のアクセスログを取り,定期的にチェックすることにより、不正アクセスが行われていないか、漏洩していないかを知ることができます。
SIEM(Security Information and Event Management)
複数のホストやネットワークのログを一元管理し、相関分析し、不正アクセスを検知するログ管理手法です。
ログの収集・分析による攻撃の検知を目的とするログ管理は従来から行われていましたが、SIEMはそれを統合的に発展させたものです。
SIEMの特徴は相関分析をすることです。例えば、ある端末からあるサーバへのアクセス履歴があってももんだいはありません。ところが、入退室管理システムのログと突き合わせて、このユーザは端末のある室にいないことが判明すれば大きな問題になります。SIEMでは、複数のログの内容を横断的に分析して相関分析を自動的に行ないます。
このような機能は、標的型攻撃への有効な対抗手段になるといわれています。
これにより、攻撃の予兆や早期発見ができ、初動対応ができるようになりますが、SIEMには直接に通信をブロックする機能はもっていません。それらはIPSなどで行います。
セキュリティ実験など
- ぺネトレーションテスト
- ファイアウォールや公開サーバに、専門家が不正侵入を試みて,セキュリティホールや設定ミスの有無の確認など脆弱性を発見するテスト手法です。
- ファジング
- ソフトウェアの脆弱性を発見するためのテスト手法の一つで、意図的に例外データを与えてその挙動を確認し未知の脆弱性を検出する方法です。システム開発でのテスト段階で用いる技法ですが、ペネトレーションテストでも使われます。
- ハニーポット
- 「おとりサーバ」です。警察やセキュリティ対策組織が、あえて脆弱性のあるホストやシステムを設置し,受けた攻撃の内容を観察するものです。新規のウイルスや不正アクセスの手口などを収集して、その対策を検討するのに用います。
- サンドボックス
- 「砂場」の意味です。ネットワークだけでなく、不正な動作をする可能性があるプログラムを特別な領域で動作させることによって、他の領域に悪影響が及ぶのを防ぐセキュリティ機構のことです。
サンドボックス型は、実際に動作を確認して判断するため、未知の不正プログラムにも対処できます。
ディジタルフォレンジクス
フォレンジクス(Forensics)とは、「法廷の~」の意味です。
不正侵入、情報破壊、情報漏洩などのインシデントが発生したとき、サーバやパソコンに存在している電子的記録を収集・分析して、法的証拠に活用することをディジタルフォレンジクスといいます。
インシデントの証拠となりうるデータを保全し,その後の訴訟などに備えるためにはログ管理が重要な手段になります。また、社内で法令違反の疑いがあるとき、コンピュータの記録を差し押さえて警察が証拠資料とする場合にも用いられます。
一般に不正行為の事後調査であり、不正リスクの事前回避を目的としたものではありません。
IPA「インシデント対応へのフォレンジック技法の統合に関するガイド」では、ディジタルフォレンジックス実施のプロセスは、次の基本フェーズで構成されるとしています。
- 収集:データの完全性を保護する手続きに従いながら、関連するデータを識別し、ラベル付けし、記録し、ソースの候補から取得する。
- 検査:データの完全性を保護しながら、収集したデータを自動的手法および手動的手法の組み合わせを使ってフォレンジック的に処理することにより、特に注目に値するデータを見定めて抽出する。
- 分析:法的に正当と認められる手法および技法を使用して検査結果を分析することにより、収集と検査を行う契機となった疑問を解決するのに役立つ情報を導き出す。
- 報告:分析結果を報告する。これには、使用された措置の記述、ツールや手続きの選択方法の説明、実行する必要があるそのほかの措置(追加のデータソースのフォレンジック検査、識別された脆弱性の安全対策、既存のセキュリティ管理策の改善など)の特定、フォレンジックプロセスのポリシー、手続き、ツール、およびそのほかの側面の改善に関する推奨事項の提示などが含まれる可能性がある。
フォレンジックプロセスを実行するための一般的な推奨事項として、次の事項を示しています。
- 各組織は、法執行機関との連絡、監視の実行、フォレンジックのポリシーと手続きの定期的な見直しの実施など、フォレンジックに関する主要なすべての考慮事項に対応した明確な声明を組織のポリシーに確実に含めるようにすること。
- 各組織は、組織のポリシーと適用可能なすべての法律および規制に基づいて、フォレンジック作業を実行するための手続きとガイドラインを作成し、管理すること。
- 各組織は、フォレンジックツールの妥当かつ適切な使用が、組織のポリシーと手続きによって確実に裏付けられるようにすること。
- 各組織は、組織のIT担当者がフォレンジック活動に参加できるように確実に備えができているようにすること。