ほんとうはIDSって何? Katsuhiro Watanabe 理化学研究所 渡辺 勝弘 思い起せば 2年ほど前には、IDSの認知度はほとんどあ りませんでした それが現在では、不正アクセスを防ぐため の絶対要素のような扱いを受けてます それって本当? IDSとは? IDS(侵入検知システム Intrusion Detection System) コンピュータやネットワークに 発生した不正アクセスを素早く 検知し、管理者に通報する機能 を持ったシステムである IDSとは? IDSの種類 ・不正検出型 ・異常検出型 ・ホストベース ・ネットワークベース ...なんてコトは今回は関係ありません 知らないって方はあとで以下の記事を読んでみてください 5分で絶対に分かるIDS シマンテック 星澤さん著 http://www.atmarkit.co.jp/fsecurity/special/19fivemin/fivemin00.html IDSがあれば すべての不正アクセスはIDSによって 検出され、システム管理者が対応す ることによって、コンピュータはセ キュリティの脅威から守られるだろ う それってホントかな? IDSが無かったら 不正アクセスを受けているか 不正アクセスの原因は何か 不正アクセス者が誰か IDSが導入されている場合に比べ て、これらを知ることが困難です 数多くのコンピュータで構成されるネットワークで不正アクセスを 監視した場合、IDS無しに不正アクセスを知ることは、現実的に不 可能かもしれません 注意 今回のお話はネットワークベースで のIDSを対象としてます ネットワークベースIDSとは? ネットワーク上を流れる通信を監視する ことにより不正アクセスを検出するID Sである(NIDSと表記される) IDSが検知できること 不正利用の試み 各種スキャン行為 攻撃コードの実行 バックドア 運用妨害 他にP2Pファイルシェアリングやコンピュータウィルスを検知す ることもできます でもIDSって... IDSは「不正アクセス」が発生した後に, その事実を知らせる 不正アクセス対応まで更にタイムラグ が発生する コンピュータは既に汚染されている 手遅れじゃんヽ(;´Д`)ノ 新説:IDSとは? IDS(侵入検知システム Intrusion Detection System) コンピュータやネットワークに 発生した不正アクセスを、シス テム管理者の手の空いたときに 知らせてくれる、控えめな性質 のシステムである とは言えIDSは必要である 不正アクセスの発生を知らなけれ ば被害は拡大する一方である 不正アクセス発生後、いかに早期 に対応できるかが重要である 不正アクセスを早期に効率よく発見 するためにIDSは欠かすことができな い要素である IDS導入の難しさ 多額の導入費用が必要である 機材+初期導入費 3,000,000円~ 多額の運用費用も必要である 24時間監視で約300,000円/月前後 人員も必要である なのに、不正アクセスが発生しない限り は、ただの箱状態です IDS導入の難しさ IDSの運用は手間がかかります IDSは間違って不正アクセスを検知したり、 逆に不正アクセスを見逃したりしてしま います 少なくとも現時点では,IDSの報告が 正しいか否かは、人間が判断しなけ ればならないのです IDSが必要ですか? 本当に必要なのか検討してください 情報資源の重要度と監視コストの兼合い は? 情報資源は本当にインターネットに曝す 必要があるのか ルータやファイアーウォールの監視機能 を活用しましょう クライアントコンピュータはアンチウィルスやパーソナルファイア ウォールで既に守られてませんか? Webやメールサーバは自社で運用しなければなりませんか? それでもIDSが必要なら IDSには過度の期待をしない 費用や労力を惜しまない そうすればIDSの有難みが身にし みてわかる日が来るかもしれません ......来ないかもしれま せん ちなみに 忘れがちですが,IDSを運用しようがし まいが,不正アクセスを受けた際に対応で きる体制を整えてください. 不正アクセスを受けたなら サービスを停止する? データの価値は? バックアップ体制は? 組織的な対応は? 誰が判断しますか?........ そういえば IDP(IntrusionDetectionProtection)ってどう? IDSに防御機能を組み合わせた装置 基本部分(IDS)の精度が高いか、HTTP専用 など特定サービスが対象であれば期待して も良いかもしれない 私見だけど、現時点の精度ではNIDSに通 信経路を制御させるのは、リスクが高い かなぁ さいごに 無理をしてまで今すぐに導入しな ければならない程の要素ではあり ません 将来的に高精度のIDSが,今よ りも安価に入手できる日が来るこ とでしょう (パーソナルファイアーウォールはその形のひとつかもしれません) おわり Katsuhiro Watanabe 参考資料 ネットワーク侵入検知 不正侵入の検出と対策 武田 圭史, 磯崎 宏 著 ソフトバンクパブリッシング ISBN: 479731253X \2,900 ネットワーク不正侵入検知 Stephen Northcutt, Judy Novak 著, エクストランス 翻訳, 矢野 博之 監修 翔泳社 ; ISBN: 4798101427 \4,200 FAQ: Network Intrusion Detection http://web.sfc.keio.ac.jp/~keiji/backup/ids/ids-faq-j.html 主なIDS RealSecure InternetSecuritySystems: http://www.iss.net/ NetworkFlightRecorder NFR: http://www.nfr.com/ Dragon Enterasys: http://www.enterasys.com/ Snort http://www.snort.org/
© Copyright 2024 ExpyDoc
