PART3 「漏えい検知／犯行のトレース」の実施方法：「性悪説」による機密・個人情報漏えい対策 第2部（3/4 ページ）

[園田法子、橘田明雄、卯城大士（チェック・ポイント・ソフトウェア・テクノロジーズ），N+I NETWORK Guide]

　どんなに不正アクセスに対する防御策を実施したとしても、不正アクセスの試み自体がなくなるわけではない。このような試みをできるだけ早く検知し、不正アクセスを起こす可能性のある要素を減らす努力をしていかなければならない。ただし、不正アクセスは、必ずしも故意に行われるわけではない。知らずにウイルスやワームに感染したPCのように、内部から無意識のうちに不正アクセスが行われる可能性もある。そのため、内部からの不正アクセスであっても対応可能な検知の仕組みが必要なのである。

　不正アクセス検知と防御に有効なのが、「IDS（Intrusion Detection System）/IDP（Intrusion Detection and Prevention）」と呼ばれる製品である。このような製品を利用することで、システムに対してどのような不正アクセスが行われているかを把握することができ、迅速に対応が可能になる。このIDSには、「ネットワーク型」と「ホスト型」の2種類ある。

　ネットワーク型IDSは、監視対象のネットワークに接続し、ネットワーク上を流れるパケットをキャプチャして検査することで、不正アクセスが行われていないかを調査する。このネットワーク型IDSでは、対象となるシステムへのパケットが取得できる場所へ設置しなければならない。具体的には、外部からの攻撃の対象となる社外およびDMZへ設置するのはもちろん、社内のセグメントへも設置し、内部からの不正アクセスに備える（図4）。

図4■IDS／IDPの設置場所

　またネットワーク型IDSでは、ポートスキャンなどの攻撃の前兆を見つけることも可能である。このような前兆を捕らえ、実際の攻撃が行われる前に、できるだけ早く攻撃の芽を摘むことがセキュリティ強化につながる。

　一方のホスト型IDSは、ホスト上のログやシステムコール情報を基に、アプリケーションサーバごとに上記のような攻撃の検知・防御を実施する。特定のホストに対する攻撃のより詳細な情報の取得、攻撃の検知・防御が行える。また、ホスト上でのファイルの改ざん、不正な行動などを検知可能である。これにより、攻撃者がホスト上に攻撃用のツールをコピーしたり、システムファイルを書き換えようとする試みを検知することができる。システム上の重要なホストに対しては、ホスト型IDSを設置し、さまざまな攻撃に対処できるよう準備しておくことが望ましい。

　最近では、内部からの不正アクセスに対応するため、内部ネットワークにおける攻撃の検知と防御を行う専用ソリューションも開発されている。重要なネットワークのセグメント化を行い、サーバの保護を行う。また、ウイルスやワームに感染したPCの隔離を行い、ほかのネットワークへの伝播を防止することも可能だ。

　また、検知の仕組み自体が正常に機能しているかを確認することも重要だ。そのためにアタックテストが行われることもある。仮想の攻撃をシステムに対して行い、正しく攻撃を検知できるか、また、セキュリティ上の不備はないかを客観的に判断することが可能だ。また、システム全体のセキュリティ監査を行い、システムとしてセキュリティ上の不備はないかを検査することも重要である。

　不正アクセスの手法は日々、複雑化・多様化している。それに伴い、不正アクセスに対する防御・検知の手法も進化してきた。しかし、これらのツールを十分に使いこなすには、ネットワークやOSに対する専門知識、ツールに対するノウハウが必要になる。

　このような知識を持つエキスパートは数が少なく、特に小規模な企業では、セキュリティに対する十分な知識を持つ社員はほとんどいないのが実情だろう。こうした環境では、不正アクセスの検知・分析が困難だ。そこで、このような企業のために、不正アクセス監視サービスを提供しているセキュリティ専門会社もある（図5）。

図5■不正アクセス監視サービス

　このようなセキュリティ会社では、IDSの情報、ログ、アラート情報などを利用し、不正アクセスを検出した場合は管理者にレポートを送信するというサービスを提供する。セキュリティエキスパートによる分析が行われるため、独自に解析を行うよりきめ細かな情報を入手可能だ。また、IDS導入の支援を行うサービスもある。IDSをまだ導入していない企業では、このようなサービスを検討してみてはいかがだろうか。

機密情報へのアクセスを追跡する