章 9章. 侵入検知

大切な家屋を泥棒による被害やなんらかの要因による倒壊などから守る必要があります。 アラームシステムを備えた家もあります。アラームシステムは不法侵入者を防ぎ、 不法侵入が発生すると当局に知らせ、火災が発生すればそれを警告します。 こうした対策は家屋や所有者の安全を確保するために必要な対策となります。

コンピュータのシステムやデータにも同様のことが言えます。 インターネットは、個人情報から金融情報までその流通を促進します。 同時に、多くの危険性も呼び起こします。悪意のあるユーザーやクラッカーは パッチを当てていないシステム、トロイに感染しているシステム、不安定な サービスを実行しているネットワークなど、攻撃を受けやすいターゲットを さがしています。こうした脅威に対してリアルタイムで対応できるように、 管理者とセキュリティチームのメンバーに侵入が発生したことを知らせる アラームが必要となります。侵入検知システムはこのような警報システムとしてデザインされています。

9.1. 侵入検知システムを決定する

侵入検知システム(IDS)は、許可のないエントリや悪意のあるアクティビティに 対してシステムとネットワークのアクティビティを解析するアクティブなプロセス またはデバイスです。IDSが異常を検知する方法は多様ですが、いずれのIDSも 究極の目的はリソースに実際にダメージを与えられる前に犯人を捕獲することです。

IDSは攻撃、不正使用、感染からシステムを守ります。また、ネットワークの アクティビティを監視したり、脆弱性に関してネットワークとシステムの設定を検査したり、 データの整合性を解析するなど、多くのことを行ないます。装備する検知方法によって、 IDSを使用する上での直接的な利点と附随してくる利点がいくつかあります。

9.1.1. IDSタイプ

IDSとは何か、またIDSが提供する機能を理解することが、コンピュータ のセキュリティポリシーに組み入れるのに適切なのはどのタイプかを決定する上で 重要となります。 このセクションではIDSに関する概念、IDSの各タイプの機能、数種の検知技術とツールが 1つのパッケージとなったハイブリッドIDSなどを解説していきます。

いくつかの IDS は知識ベースであり、よくある攻撃のデータベースを用いて侵入が発生する前にセキュリティ管理者へ先制して警告します。これに対し、行動ベース IDS があり、異常に 関してすべてのリソース使用を追跡します。異常はたいていの場合、悪意的 行動の表出と見られます。バックグラウンドで作動し、受動的に外部からの 不審なパケットのログをリッスンする独立型サービスのIDSもあります。他にも標準 システムツール、設定変更、詳細ログを管理者の感と経験で組み合わせて強力な 侵入検知キットを作りあげることもあります。多数の侵入検知技術を検討することは 企業にとって最適なものをさがすのに役立ちます。

セキュリティ分野で照会される最も一般的な IDS はホストベースネットワークベースIDS として知られる物です。ホストベース IDS はこの2つの内より総合力を持ち、各個別のホスト上の検知システムの実装を賄い ます。ホストが常用するネットワーク環境に関係なく保護は維持されます。ネットワーク ベース IDS は各指定ホストにパケットが送信される前に、単独デバイスを通じて パケットをフィルターします。ネットワークベース IDS は、総合力が低いと見なされて おり、多くのモービル環境のホストは信頼できるネットワークパケットフィルターと 保護には利用できない状態になります。