苦労してますよね? −IDS/IPSの誤検知への対応法ゼロから分かるログ活用術(5)(3/3 ページ)

» 2005年06月04日 12時00分 公開
[林 和洋(セキュアヴェイル), 三木 亮二(セキュアヴェイル),@IT]
前のページへ 1|2|3       

IDS/IPSログ利用時の考慮点

 IDS/IPSでログを取得するように設定した場合、パフォーマンスに影響を与えます。特にIPSのようなインラインに設置する機器の場合、パフォーマンスの低下は実際の通信パフォーマンスに影響します。

 チューニングを行っていない段階では、なるべくIDS/IPSに負荷を与えないようなログ設定にしておき、チューニングが進んだ段階で詳細なログを取得するようにしてください。IPSの場合には、最初は単なる検知モード(IDSモード)として設定し、チューニングが終わった後でIPSとして動作させるような工夫をしてください。

そのほかのIDS/IPSログ利用方法

 IDS/IPSのログをチューニング以外に利用する方法を考えてみましょう。

 企業内通信といえども、通常はセキュリティポリシーに従って利用方法が規定されています。しかし、企業内通信を監査する有効な方法がないため、セキュリティポリシーが機能しているとはいいにくい状態です。そのため、セキュリティポリシーに従わない通信が多々あるのが現実だといって間違いありません。

 このような社内通信を監査する手段として、IDS/IPSを社内WANの接続点やサーバファームの入り口に設置し、企業内でどのような通信が行われているかを、IDS/IPSのログを使って調査することができます。IDS/IPSを使って監査した例を以下に示します。

すぐに推測できるような簡単なパスワードを使ったアカウント

 ファイルサーバやメール(POP)サーバへの通信を監査してみると、簡単なパスワードを利用しているアカウントが想像以上にあります。極端な例としては、パスワードのない管理者アカウントでサーバにアクセスしていた場合もあります。

サーバへのポートスキャニング

 スキャニングそのものが、対象となったサーバに被害を与えることはあまりありません。しかし、不正アクセスの前段階(準備段階)と見なせるものであり、通常の企業では許可のないスキャニング行為は禁止されています。こういったスキャニング行為を、事前に把握することにより、サーバの不正利用や許可のないデータへのアクセスといった問題に対応することができます。

 監査目的でIDS/IPSを利用する場合は、チューニングは行わずにすべてのログを取るようにしてください。また、大半のIDS/IPSのログは脅威の度合いに応じて、3段階から4段階に分類されていますが、監査の場合には脅威の度合いの低いものを中心にチェックした方が効果的です。


  「ゼロから分かるログ活用術」は今回で終了させていただきます。

 つたない文章ではありましたが、いままでの経験が皆さまのITセキュリティに少しでも役立てばと思い、執筆させていただきました。コンピュータのログが単にディスクやテープの場所を取っているものではなく、セキュリティを確保するうえで必要不可欠なものであることを少しでも理解していただけたのなら幸いです。

【関連記事】
▼IPSを実装する場所と考慮すべき点(@IT > Security&Trust)
▼IPSの実装方法と防御技術とは(@IT > Security&Trust)
▼5分で絶対に分かる侵入検知システム(IDS)(@IT > Security&Trust)
▼不正侵入検知システムを知る(@IT > Security&Trust)

著者紹介

▼著者名 林 和洋(はやし かずひろ)

セキュリティベンチャー企業、監査法人系コンサルティング会社を経て株式会社セキュアヴェイルに入社。現在は東京オフィスマネージャーとしてログ解析サービスをはじめとしたセキュリティサービスに従事。公認情報システム監査人(CISA)。

▼著者名 三木 亮二(みき りょうじ)

製造業情報システム部門、独立系SI企業においてセキュリティ関連のコンサルティングに従事後、株式会社セキュアヴェイルに設立メンバーとして参加。現在はセキュリティサービスの企画・技術の責任者。副社長兼CTO。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ