第4回 不正侵入に対抗するIDS/IPSの常識知ってるつもり? 「セキュリティの常識」を再確認(3/3 ページ)

» 2004年12月10日 17時55分 公開
[横森利裕(三井物産セキュアディレクション),ITmedia]
前のページへ 1|2|3       

脆弱性情報を利用した検知

 不正アクセスの監視については最近、脆弱性検査ツールで検出した情報やOS、サービスプログラムが保持するバナー*3(パッシブフィンガープリンテイング技術)、バージョン情報を脆弱性データーベースや資産のプロフィリングに照らし合わせて、攻撃対象となるターゲットへの驚異レベルを把握する技術が注目されている。Internet Security Systems(ISS)のFusionモジュール、Source FireのRealtime Network Awareness Sensor(RNA)がそれらの機能を備えた製品として知られている。

*3 下記の例ではSSH01.99-OpenSSH_3.6.lp2/vsFTPd 1.2.1が使用されていることがわかる。もしこれらのプログラムが脆弱性の対象であるならば、攻撃検知の際“脆弱性のあるプログラムが攻撃されている”と判断できる

画面

 ターゲットのOS種別や稼働中のサービスのバージョン情報、脆弱性情報を事前に把握しておくことにより、IDS/IPSによる誤検知、過剰反応検知が起きた場合に、そのイベントの信憑性を判断する手助けになる。しかしながら、IDS/IPSを使用した監視サービスの現場では、熟練した監視者の目と経験で、本当の攻撃、誤検知を判断することが通常となっており、この機能が定着するのはまだ先のようである。

 いくつかのセキュリティ専門企業は、契約している企業のネットワークにIDS/IPSセンサを置き、24時間・365日、不正アクセスを監視するビジネスを提供しており、これを利用するのも一つの手だ。価格も低価格なため、定着しつつあるサービスといえる。

 この種のサービスの利点として、不正アクセス監視をアウトソースすることにより、専門的なセキュリティエンジニアよる精度の高い解析後の分析レポートを受けられるほか、万が一侵入されたり、未知のワームが暴れ始める際の緊急報告、処置法を知ることができるのがメリットといえるだろう。

代表的な製品

ISS/RealSecure (Proventiaシリーズ)

 IDS/IPSのシェア世界一を誇る製品群。SOHOからエンタープライズまでの規模のニーズに適するセンサのラインナップがある。脆弱性情報を利用したFusionモジュールを用い不正アクセスを高い精度で検知する。

Symantec/ManHunt

 アノマリ型IDSの代表的な製品として知られている。シグネチャベースのIDSが検出できない異常な予兆を検出することも可能。

McAfee/IntruShield

 シグネチャ、アノマリベースの両方の機能を持つ、バーチャルファイアウォールという機能も持ち、ギガビットのネットワーク環境においても精度の高い検知機能を持つ。

Juniper/NetScreen

 Multi-Method Detectionを提供し、監視ルールをきめ細かく設定できる。

SourceFire/Defense Center、Intrusion Sensor、RNA Sensor

 フリーIDSのSnortをベースに開発された製品。商用のため高速な検知機能やRNASensorと組み合わせて精度の高い検出が可能。ペイロード情報の収集などが簡単に行える。

TippingPoint/UnityOne

独自の検知ユニットに特色があり、検出機能は商用IDS/IPSでは最速。日本では販売はされていない。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ