新米ネットワーク管理者の「やってはいけない」

第4回あわてず、騒がず、防御しなくてはいけない

新人管理者の「やってはいけない」という点について、これまでの3回でとりあげてきました。管理面を中心に説明してきましたが、最終回となる今回は防御手法を中心に取り上げ、総括します。

IDS/IPS設置のすすめ

管理ネットワークを流れる通信そのものを監視し、脅威を防御する方法を紹介します。それはIDS/IPS※と呼ばれるシステムを使用するもので、攻撃行為や管理者が意図していない不正なアクセスが行われていないか分析し、管理者へ通知することができるシステムです。

IDS(Intrusion Detection System⁠⁠、IPS(Intrusion Prevention System⁠

IDSとはネットワーク上もしくはサーバなどのホスト内での不正なアクセスの兆候を検知し、ネットワーク管理者に通知するシステムで、通知専用になります。これに対し、侵入検知時に通信を遮断するなど防御をリアルタイムで行うのがIPSです。これらはファイアウォールのようにIPアドレスやポート番号だけで判断するのではなく、通信の内容から判断できるという特徴があります。

管理ネットワークの入り口にIDSを設置することで、外部からの通信を解析し、危険度が高い通信を検知した場合には管理者へ通知してくれるため、被害を受けた際の対応速度を早めることができます。

IDS/IPSの導入についてはそれぞれにメリットデメリットがあるため、導入前に確認し、管理ネットワークの環境に適切なシステムを導入するのが望ましいでしょう。

表1 IDSのメリットデメリット
メリットデメリット
脅威の検知が可能 通信を検知するだけで遮断できない
脅威発生時の対応速度の向上 通信対象のホストへ通信到達するので影響を受ける可能性がある
ネットワーク構成を変えることなく設置可能 -
表2 IPSのメリットデメリット
メリットデメリット
攻撃を遮断できるため通信が対象ホストへ到達しない ネットワーク構成を変更し、通信はIPSを経由させる必要がある
検知のみ、検知と遮断など柔軟な対応が可能 通信を遮断するため、利用サービスに影響を与える可能性がある

IDS/IPSのメリットデメリットは表1、2の通りになります。IDSもIPSも、何もない状況と比較すれば設置するメリットは非常に大きいのは間違いありません。しかしながら、その有用性とは裏腹に、IDS/IPSにはもうひとつ大事な点があるので注意が必要です。

それは、運用が重要となるシステムである点です。大量の通信を調査するため、ネットワークの状況によっては検知アラートが大量に発生し、管理者が確認しきれなくなることもありますし、ウィルス対策ソフトの定義ファイルと同様に最新の攻撃を検知/遮断するためのアップデート作業が必要なことや、ただアップデートするだけではなく無駄なアラートが大量に発生しないように随時チューニングする必要性がある点など、運営面での人的コストは非常に大きくなります。

検査サービスを併用して実施しているのであれば、管理ネットワークの脆弱性を把握できているはずなので、判明した脆弱性に対する攻撃のチェックを重点的に行い、影響がないと思われる他通信を監視対象からはずすことで運用コストを軽減することはできるかもしれません。

それでも管理者の人員が足りなければIDS/IPSは手に余るような状況になることも十分予想されますので、管理ネットワークに流れる通信をきちんと適切に監視、防御したいというのであれば、負担を軽減するために監視サービスを提供している業者を利用するのもひとつの手段となってきます。サービスを利用するのであれば、内容は様々ですが管理上必要な通知のみ行われるようになるため、費用はかかりますが人的コストは劇的に減少します。サービス内容によっては、各種アップデートはもちろんのこと、緊急時の応急的な対応まで実施してくれるものもありますので、サービスを利用する場合には予算に応じて検討してください。

IDS/IPSに過度な期待をしてはいけない

監視、防御することができるIDS/IPSを導入しても、上記に記載したメリット、デメリットの他に、苦手な分野など特性があることを理解しておく必要があります。

当然のことながら、検知や遮断が行えるとはいえ、基本的には定義されたシグネチャとのパターンマッチングによって既知の脅威を防御しているので、未知の脅威を防ぐことはできません。

そのため、監視する環境が整備できたとしても、そこで安心して運用をおろそかにするのではなく、たとえ運用管理を委託していたとしても情報収集は随時行うべきです。このあたりはサーバ管理と一緒で、環境を構築してそこで終了ではなく、そこからがスタートです。

先に述べたように、IDS/IPSでもすべての攻撃を検知、遮断できるわけではありません。ウィルス作成者がアンチウィルス製品で検出できないことを確認するかのごとく、攻撃者の中にはIDS/IPSの機能を熟知する者もおり、防御されないようにかいくぐろうと試みる行為も少なくありません。ある程度広い範囲を検知、遮断できるようにIDS/IPSは作られていますが、適切にアップデートを実施していてもいつ脅威が発生するかは不透明です。

そのため、いつ何時何が起きても対応できるように、非常時を想定したバックアップや訓練を実施しておくことが重要です。

非常訓練を怠ってはいけない

ここまでこの特集でお伝えしてきたことを実践していれば、管理ネットワークの弱点把握はできていると思われるので、起こりうる脅威もある程度予想できるはずです。

しかし、実際に脅威が発生した際に対応がまごつくケースもでてくるでしょう。普段行わないことを突然実行しようとしたときほど、ミスは誘発されます。しばらく使わないで放置した充電池が放電されるため、必要になったときに使いたくても使えないのと一緒です。再充電するまで時間がかかったのでは有事の際に役に立ちません。常にいつでも使えるように準備しておくことが重要です。

そこで、いざという時に適切な行動が行えるように被害を受ける可能性のある事象を列挙し、それぞれの事象で被害が発生したことを想定した対処方法を確認しておきましょう。まずは何を一番に守るべきなのか重要度を設定した上で、影響範囲が大きいものを最優先し、影響が小さなものについては徐々に詰めていく形が望ましいでしょう。

その後、ある程度準備ができた段階で非常訓練を実施し、反省点の見直しや対処完了までの時間を測定した上で、非常時の対応マニュアルなどを作成することをお勧めします。特に上司への連絡や報告の手段、タイミングなどは明確にあらかじめ準備しておかないと、いざというときのタイムロスにつながります。

組織変更などで作成したマニュアル通りに行動できなくなることも考えられるため、このような非常訓練の実施や対応方法の見直しは、少なくとも年に1度は実施しておいたほうがいいでしょう。

いざというときに「これをやってはいけない」

対処方法の確認、手順のマニュアル化、非常訓練の実施などを行うことでかなり対応力は向上しますが、それでも「やってはいけない」ことがあるので、念のため確認しておいていただきたい。

事実を確認しないまま対応しない

情報漏洩の発生やボット、ワームに感染した際など、まずはその事実を確認しましょう。IDS/IPSなどを用いているからといって、通知レポートからのみ判断するのではなく、実際の状況(動作ログなど)を確認して確証を得ましょう。もしかしたらテストを行っているのかもしれません。証拠がないのに犯人を逮捕してしまっては意味がありません。被害に敏感になることは大事ですが、過度に反応してしまっては業務に影響をきたします。

対応時に現場を荒らさない

攻撃を受け、実際に情報漏洩などが発生していることを確認した際には素早く漏洩経路を切断しましょう。第一に対象のホストをネットワークから切り離すのが重要です。ただし、切り離しを実施した後はむやみやたらと調査、対処を行うべきではありません。該当のホストに残されている攻撃の痕跡(操作ログなど)が失われてしまう可能性がありますので、素早い対策は必要ですが、まずは原因の特定を急務とし、原因が特定できた段階で対処をはじめるべきでしょう。原因の特定が困難なようであれば、セキュリティ専門業者に依頼することも検討すべきでしょう。

組織のトップに報告を

どのレベルの攻撃であれ、被害を受けた際には報告を行うべきです。被害発生が現場の責任であれ、最終的な責任は組織のトップがとることが大半と思われますので、微々たる被害であっても定められたフローに従い、報告を行ったほうが無難です。

この場合に報告するためのフローが無いと対応が遅れます。対応の遅れがそのまま組織全体の損害につながる可能性もありますので、被害の重要度や種類に応じた報告方法を決めておきましょう。

まとめ

これまで4回にわたって新人管理者向けに基本的なセキュリティ対策から防御まで「やってはいけない」ことを中心に取り上げてきました。非常に多岐にわたる内容のため、戸惑ってしまいがちですが、ネットワークの管理は何も1人でやるものとは限りません(1人でやっている組織もあるでしょうが⁠⁠。仮に管理者があなた1人だったとしても、他部門と緊密にコミュニケーションを取りあっておくだけでも対策はスムーズに進みますし、いざというときの対応も素早いはず。

ネットワーク管理は、どこまでやっても心配のタネは尽きません。どんなに強固なシステムも人の誤った操作ひとつで綻びは発生しますので、この記事が管理者として間違った行動を取らないように意識するための一助となれば幸いです。

おすすめ記事

記事・ニュース一覧