第8回 不正侵入検知の今後の方向性(後編)
前編では、ネットワークベースの侵入検知システム(IDS:Intrusion Detection System)に限界が迫っており、多様化するクラッキングに対して十分な対策となり得ないことを明らかにした。後編ではこの問題を踏まえ、次世代に通用するソリューションを検討する。
日本ネットワークアソシエイツ株式会社
マーケティング本部 プロダクトマーケティング マネージャ
能地 將博
2001/6/6
| 次世代のソリューションの要件 |
|
新しいネットワークアーキテクチャの出現により、ネットワークベースの侵入検知システムの限界は明らかであり、新しい脅威は確実に無視できない存在となっている。企業は新しい侵入検知ツールを必要としている。
新しいツールに必要な機能は、
- 高速スイッチネットワークに対応
- 暗号化またはVPNトラフィックに対応
- システムの脆弱点/優先度に基づいて設置可能
- ネットワークベースの侵入検知システムで見逃される攻撃を検出可能
が挙げられるだろう。
また、攻撃が成功した場合の潜在的な影響、可能な攻撃の回数、さらに新しい攻撃の材料や脆弱点の探索がいまなお進行中であることを考えると、企業は検知能力について「ネットワークおよびコンピュータ機器をテストして、セキュリティホールが存在するかどうか調べ、侵入者が攻撃する前にそれを修復できなければならない」ことを考慮すべきである。
| スキャナを使ったプロアクティブな予防調査 |
われわれがコンピュータウイルスに関する情報を調べるのと同様に、多くの潜在的なネットワーク侵入者によって参照される、既知のセキュリティの脆弱点および攻撃手法に関する知識ベースが存在する。これらの脆弱点は、暫定的な屋外使用のアカウントのパスワードが存在するかどうかといった単純なものから、ネットワークベースのIDSを失敗させるある種の攻撃などといった複雑なレベルのものまでさまざまだ。典型的な脆弱点のカテゴリには、誤った構成、ポリシー違反およびソフトウェア更新(例えばバグフィックスや新機能)などが含まれる。
このような知識ベースが存在することから、企業はまず不正なパケットの処理をテストする能力を持つファイアウォール監査ツールを使用して、ファイアウォール、ルータ、ホスト、そのほかの機器を定期的にテストすることにより、既知の脆弱点に焦点を当てることが重要な意味を持つことになる。このようなツールの例として、ネットワークアソシエイツのCyberCop Scannerを挙げることができる。このツールにより、企業は脆弱点を特定できれば、攻撃者がこの脆弱点を識別して利用する前に行うべき処置を決定できる。
■戦略的な計画
組織は、率先的なスキャンツールおよび脆弱点データベースを使用してテストを行うことによって、ルータ、ファイアウォール、ネットワーク機器、オペレーティングシステム、Webサーバ、アプリケーション、ワークステーションを対象にして、さらにはネットワーク侵入検知システム自身に対して、独自の日常的なチェックを実施できる。これによって企業は、ネットワーク侵入者が脆弱点を見つけて利用するのを単に待つのではなく、セキュリティに対して先取的に対処可能になる。
CyberCop Scannerでは現在、700種類以上のテストをドキュメント化しており、ネットワーク侵入検知システムを攻撃する26種類の最近発見された技術を考慮したスキャンエンジンによるセキュリティテストも実施可能だ。
■脆弱点管理
企業レベルでは、定期的にテストを行わなければ意味がない。
- ホットフィックス、パッチまたはほかの対応処置を適用した後
- ハードウェアまたはソフトウェアに対して有意な変更またはアップグレードを行った後
- 新しい脆弱点の発見時
あるいはスケジュールベース、例えば毎月または四半期ごとにテストを実施すべきである。このような継続的なテストは、ミッションクリティカルなリソースおよびサービス(ネットワークや、製造設備、配送、およびサポートなど)に対して多くの企業で行っている脆弱点管理プロセスの1要素として見なすべきである。これにより、データベースが十分に広範であると仮定すれば、スキャン作業の後、推奨された処置を実施することによってかなりの割合のセキュリティ脆弱点を解消できる。また、企業にとって修復可能な脆弱点と修復不可能な脆弱点を明らかにすることができるはずである。さらにこれは、より多くのリソースを投入すべき分野を特定する際に役立つことになる。
そして、スキャナの脆弱点データベースおよびスキャナの任意のテストスクリプトをカスタマイズして、企業の設備のみならず、その解決方針と手段、さらにはコンサルティングパートナーのそれを反映させることができれば理想的であると考えられる。
| リアルタイムのホストベースモニタリング |
スキャン作業によってセキュリティの脆弱点が捕そくされても、それを解消できない可能性も常に存在する。例えば設計の問題や誤用、保護のないアーキテクチャなどが考えられる。これらの潜在的な脆弱点を解消できない場合、別の手段で対処しなければならない。多くの場合、保護のないリソースを単に取り除くことはできないであろう。このようなリソースは、攻撃の試みを確実に検出する、ホストベースの監視製品が最適である。
ネットワーク上のシステムで瞬間ごとにどのような現象が生じているか把握するには、その現象を直接監視するしかない。ネットワークベースのIDS製品には前述したように数多くの欠点があるが、それに加えて、攻撃動作によってはホストの内部からのみ観察でき、ネットワークセッション経由ではなく、OSおよびカーネルから直接参照しなければならないものもある。
最良のソリューションは、観察対象の各コンピュータ上にコンパクトな侵入検知エージェントを直接設置することである。ホストベースのIDS製品の場合、センサがホスト内部にあるので、イベントおよびシステム動作をtelnet、ログインまたはシェルセッションから参照することが困難または不可能なものを含めて検出することが可能になる。これはまた、センサでログインイベントなどのイベントを監視および分析し、システム動作を観察することを可能にする。IPアドレスやブロックへのプロトコル要求、しきい値(ログイン試行の失敗回数など)といったルールのデータベースに対して、これらのイベントや動作を比較することによって、センサは潜在的な侵入の試みを識別できるからだ。
さらに、ホストベースのIDS製品では、機器に進入するトラフィックの100%を容易に「聴取」可能だ。カーネルおよびプロトコルスタックから出現するデータストリームを参照することによって、モニタはホストが受け取るデータストリームを正確に観測できる。そのため、挿入操作などの任意のマスク技術、パディング、断片化、あるいは不規則な順序による送信といった、ネットワークベースのIDSを回避する攻撃でもホストベースのIDSでは容易に捕そくできる。
優れたホストベースのIDSは複数の「エンジン」を含み、それらは相互に状態情報を通信する能力を持つ。あるエンジンは、パケットストリームを検査して攻撃シグネチャがないかどうか調べ、別のエンジンはログファイルに注目して悪意のある活動を検索するような動作をとる。また、別のエンジンはシステムの測定基準のしきい値に基づいて、異常がないかどうかシステム動作を監視する。この間に、システム全体ではこれらのイベントすべてを要約し、最上層のシグネチャを検出する。
このように、ホストベースのIDS製品は十分コンパクトに実装でき、わずかなCPUリソースと最小のメモリ領域のみで使用可能である。
■異常分析
ホストベースのIDS製品はまた、「異常分析」などはるかに効率的な侵入検知技術を使用できる。異常とは、想定されるまたは典型的な標準とは異なるイベント、あるいはしきい値のことだ。これらの動作およびしきい値は、経験則(ルール)によって定義され、このルールはネットワーク管理者が外部的にも定義できる場合が多い。センサが十分に精巧な場合、一定期間ユーザーを監視して、正常であると考えられる動作を認識することによって、自身の動作データベースを部分的に改良する。認識された動作が十分に逸脱したものである場合、警告を出力できるが、このレベルの異常分析は、回線上ですべてを監視しようと試みるネットワークベースのIDS製品では事実上不可能である。
このようなルールの一例として、「イベントA、BおよびCが発生した場合には問題がなくても、A、B、CおよびDが発生した場合には、ネットワーク管理者に通知する」といったものがある。警報応答としては、さまざまな範囲の処理、例えばログ出力の有効化から、警告の出力、ページャへのメッセージの送信、電子メールの送信、SNMP警告の発行などが行われる。
■集中化および連携に関連する要素
分散型手法の長所として、潜在的な脅威に対処するために中央コンソールとの通信に依存しないという点が挙げられる。ホストベースのモニタは、相互にまたは中央のコンソールとは独立して動作することが可能であり、またそのように動作するが、イベントおよび動作に関する情報の共有などでは、集中化および連携した方法で機能する。つまり、ホストモニタは相互に情報を交換し、この情報を新しいルールとして認識できる。このような情報の例としては、検出された潜在的な攻撃に関する情報や、施された処置、例えば攻撃の基点となっていると判断されるユーザーアカウントのロックアウトなどの処置に関する情報を挙げることができるだろう。
例えば、CyberCop Monitorは個々のモニタやそのほかのシステムがレポートを出力する中央コンソールを採用しているので、レポートデータベースの結合機能はログファイル内の反復を監視し、それを抑止する。これによって、数百、数千もの項目がログファイルに収納されることはなくなる(そうでない場合、すべての図表やグラフが歪曲され、ネットワークセキュリティについて誤った仮定が導き出される恐れがある)。
| まとめ |
これまで見てきたように、ホストベースのセンサは、今日のハイレベルなトラフィックで攻撃試行を監視し、ネットワークベースIDSを回避するかまたはその機能をまひさせる攻撃、あるいはネットワークベースIDSで検知されないさまざまなタイプの攻撃を検出することが可能であり、今後はホストベースのIDS製品が不正侵入検知システムの中心製品になっていくことが予想される。
 |
「連載 Web改ざんの現状と対策」 |
出典:Scan Security Handbook Vol.5
2000/10/11発行
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
