新米ネットワーク管理者の「やってはいけない」

第4回 あわてず,騒がず,防御しなくてはいけない

この記事を読むのに必要な時間:およそ 2 分

新人管理者の「やってはいけない」という点について,これまでの3回でとりあげてきました。管理面を中心に説明してきましたが,最終回となる今回は防御手法を中心に取り上げ,総括します。

IDS/IPS設置のすすめ

管理ネットワークを流れる通信そのものを監視し,脅威を防御する方法を紹介します。それはIDS/IPS※と呼ばれるシステムを使用するもので,攻撃行為や管理者が意図していない不正なアクセスが行われていないか分析し,管理者へ通知することができるシステムです。

IDS(Intrusion Detection System),IPS(Intrusion Prevention System)

IDSとはネットワーク上もしくはサーバなどのホスト内での不正なアクセスの兆候を検知し,ネットワーク管理者に通知するシステムで,通知専用になります。これに対し,侵入検知時に通信を遮断するなど防御をリアルタイムで行うのがIPSです。これらはファイアウォールのようにIPアドレスやポート番号だけで判断するのではなく,通信の内容から判断できるという特徴があります。

管理ネットワークの入り口にIDSを設置することで,外部からの通信を解析し,危険度が高い通信を検知した場合には管理者へ通知してくれるため,被害を受けた際の対応速度を早めることができます。

IDS/IPSの導入についてはそれぞれにメリットデメリットがあるため,導入前に確認し,管理ネットワークの環境に適切なシステムを導入するのが望ましいでしょう。

表1 IDSのメリットデメリット

メリットデメリット
脅威の検知が可能 通信を検知するだけで遮断できない
脅威発生時の対応速度の向上 通信対象のホストへ通信到達するので影響を受ける可能性がある
ネットワーク構成を変えることなく設置可能 -

表2 IPSのメリットデメリット

メリットデメリット
攻撃を遮断できるため通信が対象ホストへ到達しない ネットワーク構成を変更し,通信はIPSを経由させる必要がある
検知のみ,検知と遮断など柔軟な対応が可能 通信を遮断するため,利用サービスに影響を与える可能性がある

IDS/IPSのメリットデメリットは表1,2の通りになります。IDSもIPSも,何もない状況と比較すれば設置するメリットは非常に大きいのは間違いありません。しかしながら,その有用性とは裏腹に,IDS/IPSにはもうひとつ大事な点があるので注意が必要です。

それは,運用が重要となるシステムである点です。大量の通信を調査するため,ネットワークの状況によっては検知アラートが大量に発生し,管理者が確認しきれなくなることもありますし,ウィルス対策ソフトの定義ファイルと同様に最新の攻撃を検知/遮断するためのアップデート作業が必要なことや,ただアップデートするだけではなく無駄なアラートが大量に発生しないように随時チューニングする必要性がある点など,運営面での人的コストは非常に大きくなります。

検査サービスを併用して実施しているのであれば,管理ネットワークの脆弱性を把握できているはずなので,判明した脆弱性に対する攻撃のチェックを重点的に行い,影響がないと思われる他通信を監視対象からはずすことで運用コストを軽減することはできるかもしれません。

それでも管理者の人員が足りなければIDS/IPSは手に余るような状況になることも十分予想されますので,管理ネットワークに流れる通信をきちんと適切に監視,防御したいというのであれば,負担を軽減するために監視サービスを提供している業者を利用するのもひとつの手段となってきます。サービスを利用するのであれば,内容は様々ですが管理上必要な通知のみ行われるようになるため,費用はかかりますが人的コストは劇的に減少します。サービス内容によっては,各種アップデートはもちろんのこと,緊急時の応急的な対応まで実施してくれるものもありますので,サービスを利用する場合には予算に応じて検討してください。

IDS/IPSに過度な期待をしてはいけない

監視,防御することができるIDS/IPSを導入しても,上記に記載したメリット,デメリットの他に,苦手な分野など特性があることを理解しておく必要があります。

当然のことながら,検知や遮断が行えるとはいえ,基本的には定義されたシグネチャとのパターンマッチングによって既知の脅威を防御しているので,未知の脅威を防ぐことはできません。

そのため,監視する環境が整備できたとしても,そこで安心して運用をおろそかにするのではなく,たとえ運用管理を委託していたとしても情報収集は随時行うべきです。このあたりはサーバ管理と一緒で,環境を構築してそこで終了ではなく,そこからがスタートです。

先に述べたように,IDS/IPSでもすべての攻撃を検知,遮断できるわけではありません。ウィルス作成者がアンチウィルス製品で検出できないことを確認するかのごとく,攻撃者の中にはIDS/IPSの機能を熟知する者もおり,防御されないようにかいくぐろうと試みる行為も少なくありません。ある程度広い範囲を検知,遮断できるようにIDS/IPSは作られていますが,適切にアップデートを実施していてもいつ脅威が発生するかは不透明です。

そのため,いつ何時何が起きても対応できるように,非常時を想定したバックアップや訓練を実施しておくことが重要です。

著者プロフィール

賀川亮(かがわりょう)

日々の情報収集と子供の成長監視に余念がない24時間365日体制でセキュリティ監視に勤しむJSOC(Japan Security Operation Center)所属の子持ちのセキュリティアナリスト。

株式会社ラック
URL:http://www.lac.co.jp/

JSOC
URL:http://www.lac.co.jp/business/jsoc/

コメント

コメントの記入