侵入監視システム

インターネットが単なるホームページでの情報提供から社内システムとしてのイントラネット、関連会社等をつなげたエクストラネットと発展し、インターネットを使ったエレクトロニック・コマース(インターネット・コマース)が今、米国で最もホットであることは、既に何回も述べた。しかし、このようにインターネット(およびインターネット技術)を利用するのに、忘れてならないのがセキュリティの確保である。

インターネットを利用する場合に重要なセキュリティとしては、企業内にある機密情報への不正アクセスや改ざんを防ぐためのアクセス・セキュリティと、インターネット上を情報が伝わるときに、その情報を盗まれたり、改ざんされるのを防ぐためのトランザクション・セキュリティの確保が必要となる。現在のところ、アクセス・セキュリティのためには、ファイヤーウォールの利用、トランザクション・セキュリティのためには情報の暗号化が一般的であり、既に多くの企業が導入している。

日本では一時、米国による暗号化製品の輸出規制のため、セキュリティ強度のそれほど高くない暗号化キーの短いものしか利用できないということで、不安が広がったようだが、この規制も今はかなり緩和され、また、現実にはネットワーク上で暗号化された情報が盗まれて悪用されたという事例は、この短めのキーを利用したものでも、今のところ見つかっていない。しかし、インターネット経由でホームページやそれにつながっている機密情報に不正アクセスされたという話は時々聞かれ、実態はもっと多くの事例があると思われる。情報に不正アクセスしようとするハッカーの立場から考えても、例えばネットワーク上のデータから一つのクレジットカード番号を盗むより、クレジットカード番号をデータベースに数多く保管しているところにアクセスし、それをすべて盗むほうがよほど効率がいいわけである。

このようなデータベースへの不正アクセスを防ぐためにファイヤーウォールを各企業とも導入しているわけだが、ファイヤーウォールさえ導入していれば100%安全というものではない。そもそもファイヤーウォール製品それぞれでセキュリティ強度に違いがあり、また、どのようにファイヤーウォールをネットワーク上に構成するかによっても、システム全体としてのセキュリティ強度は大きく異なる。さらに、システムの使いやすさを考慮してシステムを設計するので、セキュリティ強度だけを強くすることを考えるわけにはいかない。つまり、ファイヤーウォールを導入し、ファイヤーウォール透過テストなどを行っておいても、セキュリティは完全ではないわけである。

そこで今、米国で注目されているのが、侵入監視システム(Intrusion detection system)である。ここでいう侵入監視システムとは、物理的に誰かが機密情報のある部屋や建物に侵入するのを監視するのではなく、ネットワークなどを介して、電子的に機密情報などの入っているデータベース等へ侵入するのを監視するものである。このような電子的な侵入は、外部ネットワークからの侵入だけではなく、社内からの不正アクセスもありうるので、これらについても監視する必要がある。

侵入監視システムは、主に以下のようなことをする。
― セキュリティ機能が正常に働いているかどうかの確認
― 何か不正アクセスの気配があったときに、それを担当者に知らせる
― 不正アクセスの気配に対し、対応をとる(自動的または人間を介して)

侵入監視システムはインターネット経由の外部からの不正アクセスや社内からの不正アクセスの検知、被害の最小化、将来の類似不正アクセスの防止などを可能にする。また、不正アクセス以外のアタック、例えばシステムに大量のアクセスを行って、他からのアクセスを不可能にするというようなシステムへのアタックの監視も可能である。

具体的な侵入監視の方法は、大きく2つある。1つは既に知られている行動パターンについての情報を蓄えておき、それに類似した状況が発生した場合に警告を発生するものと、逆に、正常な状態についての情報を統計的にもっており、何か異常なパターンを発見したときに警告を発生するものの2つがある。現在、世の中には侵入監視用のソフトウェアがいくつか出ているが、そのほとんどは、前者のやり方が中心である。製品として販売はされていないが、後者のやりかたをとっているものにSRI Internationalが開発したNIDES (Next Generation Intrusion Detection Expert System)がある。SRI Internationalでは、これをさらに発展させたEMERALD(Event Monitoring Enabling Responses to Anomalous Live Disturbances)というシステムを現在開発中である(詳細はhttp://www.csl.sri.com/intrusion.htmlを参照)。後者の利点は、今までにわかっていないタイプの侵入に対しても対応が可能な点である。

侵入監視システムでは、使うソフトウェアの機能も大切であるが、それを用いてどのような侵入監視システムを設計し、導入するかも大きな問題である。それぞれのネットワーク構成に適した侵入監視システムの構築、監視すべき脅威の定義、モニターすべきシステム/ネットワークの選別、システム/ネットワーク・パフォーマンスへの影響、侵入の警告が発生した場合の対応方法の設計など、多くのシステム設計が必要となる。我社の情報セキュリティ担当コンサルタントもクライアントの侵入監視システムの設計、導入のお手伝いに忙しい毎日を送っている。

(2/1/99)


メディア通信トップページに戻る