| エンタープライズ:ニュース | 2003/11/21 04:38:00 更新 |
従来型IDSの限界を説いたSnortの生みの親
11月初めに行われたカンファレンス「PacSec.jp」において、オープンソースの不正侵入検知システム「Snort」の作者であるマーティン・ロッシュ氏が講演を行った。
11月6日、7日にかけて行われたセキュリティ技術に関するカンファレンス「PacSec.jp」において、オープンソースの不正侵入検知システム「Snort」の作者であるマーティン・ロッシュ氏が講演を行った。改めてその内容を振り返ってみたい。
ロッシュ氏は、既存のネットワーク型IDSは確かに優れたテクノロジであり、既存のセキュリティインフラを補完するものだという。だが同時に、いくつかの欠点が存在するのも事実だとした。
たとえばIDSの運用にはさまざまなチューニングが必要であり、結果として扱う人間にも相応のスキルが求められる。また、IDSを導入したからといって、あらゆる攻撃を検出できるわけではないし、逆に誤検知が発生することも多い。何より「IDSはあまりにも多くの情報を出力する。この中から重要なものとそうでないものを分類するのは非常に大変だ」(ロッシュ氏)。
そしてロッシュ氏によると、既存のIDSに決定的に欠けている要素はコンテキストだという。ネットワークトポロジがどのように構成されており、その中にどういった機器や配置されており、そのうちどれが重要なのかといった情報を認識しないままIDSが運用されているため、「例えばLinuxしか存在しないシステムにWindowsの脆弱性を突く攻撃が仕掛けられた場合、危険性はそれほど高くないはずなのにIDSがアラートを出してしまう」(同氏)。また、攻撃者がターゲットのネットワーク構成を理解していれば、パケットに細工を施すことにより、IDSによる検出をかいくぐって攻撃を仕掛けることも可能という。このようにコンテキストを認識しないまま推測に基づいて検出を行っても、False Positive/False Negative双方の誤検知が増えるだけだ。
「ネットワークやホストに関するコンテキストを理解していないこと、これがIDSの伝統的な問題だ。コンテキストの真空状態では、IDSの価値は半減してしまう」(ロッシュ氏)。
この問題の解決策として同氏が提示するのが、「受動的ネットワーク検知システム」である。ネットワークの動きに「耳をそばだてる」ことにより、ネットワーク上の資産やサービスの稼働状況を把握し、どういった脆弱性が存在し、それらの要素がどう変化しているかを把握。その結果「コンテキストに基づいて、必要なデータだけを絞り込んでいくことができる」(ロッシュ氏)。つまり、IDSがより適切な判断を下し、効果的にシステムを守ることが可能になるという。
これを推し進めれば、イベントと脆弱性との相関分析結果に、企業としてのプライオリティを組み合わせて、多層的な判断を下すことが可能になると同氏。さらに、ネットワークなどの変化に合わせてプライオリティを変更させたり、究極的にはファイアウォールやスイッチのポリシーを調整するといったことも可能になると予測する。
「IDSのコンセプトは長年存在してきた。この2〜3年ほどは、よりスマートな検出を実現するために、プロトコルアノーマリといったさまざまなアプローチが登場しているが、あまりうまくはいっていない」とロッシュ氏。受動的ネットワーク検知システムはこうした課題を解決し、コンテキストの中で情報を絞り込み、問題への適切な対処を支援するだろうと述べている。
関連記事
Interview:新アプライアンス「RNA」でIDSの補完を目指すSourcefireHoneynet Projectのスピッツナー氏が語るハニーポットにしかできない「情報収集」関連リンク
SourcefirePacSec.jp[高橋睦美,ITmedia]
