侵入検知システム(IDS: Intrusion Detection System)

　侵入検知は「ネットワークベース侵入検知」と呼ばれるものと「ホストベース侵入検知」と呼ばれるものに大別されます．それぞれ文字通り，ネットワークを監視して不正なアクセスを検知するものとホスト自体で監視を行って不正アクセスを検知するものです．ログをとっておいて，後から分析するようなものは侵入検知とは呼びません．リアルタイムで侵入を検知するところがポイントです．

　ネットワークベース侵入検知システムはNIDS(Network based Intrusion Detection System)とも呼ばれます．ホスト以外のネットワーク機器(ルータ，ハブなど)に接続し，ネットワーク上を流れる情報を監視して異常を通知します．例えば，許可していないサービスへのアクセスが頻繁に起こったり，攻撃の調査のためにサービスを走査するようなパターン，脆弱性攻撃として既に知られているパターンなどをネットワーク上に流れる情報から検知します．

　一般にはネットワークを構成する機器とは別に，監視機器を設置し，異常なパターンを検知するとそれを何らかの方法を用いて監視者に通知します．ネットワークがファイアウォールなどで区切られている場合，ネットワークの監視はそれぞれのネットワーク単位で行うのが効果的です．外側だけでなく，内側の監視も行うべきです．攻撃は外部から来るとは限りませんし，何らかの技術を使って内側に侵入する方法があるかもしれません．例えば，メールの分割という手法がありますが，メールサーバによっては，その分割されたメールを再構築してからユーザに届けるという仕組みを持つものがあります．この方法は国際標準で定められているため，間違ったことをしているわけではありませんが，この方法を利用して，メールでの攻撃を行うなどの方法も実際に行われています．
　図 8-1に設置例を示します．

　図中の「DMZ」とは “DeMilitarized Zone”の略で，「非武装地帯」と訳されることもあります．しかし，無防備なわけではありませんから，「中立地帯」あるいは「緩衝地帯」と考えるのがよいでしょう．この分野では，外部のネットワークと内部のネットワークの中間に位置し，外部からの直接のアクセスを許すネットワークを「DMZネットワーク」と呼びます．では一つのファイアウォールが三つのネットワークを管理する図になっていますが，二つのファイアウォールでDMZネットワークを挟み込む構成などでも同様です．

　この図の例では，三つのネットワークすべてにNIDSを設置しています．図では理解しやすくするために監視カメラの図を用いていますが，ネットワークの情報を監視するため，実際にはネットワーク機器に接続する，コンピュータの一種になります．

　予算などの都合で一つずつ順番に設置しなければならない場合には，何を何から守るのかを検討して，優先順位を決める必要があります．例えば，外部から内部への侵入を許したくないことが第一であれば，外部ネットワークから設置していくのがよいでしょう．DMZネットワークへの設置を最優先と記述している書籍もありますが，それではファイアウォールを完全に信頼していることになり，ファイアウォール自身の脆弱性を突かれて内部ネットワークへ直接行われる攻撃を検知することができません．内部ネットワークとDMZネットワークでは，内部からの脅威をどのように捉えるかによって優先度を決めます．外部ネットワークと内部ネットワークでは，外部からの攻撃の方がより可能性が高いと考えられるため，外部ネットワークへの設置を優先するのがよいでしょう．このような優先度を決める一義的な方法はありません．また，監視などの運用方法次第では，NIDSは必要ないということになるかもしれません．

(続く)