注目のセキュリティ資格
シスコの新しいセキュリティ資格、CCSPとは何か？

第5回　シスコの侵入検知システムセキュリティ

澤井亜紀子（グローバル ナレッジ ネットワーク）
2004/10/1

　今回解説するのは、CCSPの資格試験のうちの侵入検知システム（CSIDS：Cisco Secure Intrusion Detection System）の試験についてだ。ファイアウォールやルータなどによるセキュリティ確保だけではなく、侵入検知といったセキュリティソリューションが注目されつつある。シスコシステムズ製品中心だが、それらの考え方などを紹介しよう。

■侵入検知と侵入拒否技術

　ファイアウォールや、ルータを利用してネットワークを外部から保護したからといって、完全に安全であるといい切れるか。

　例えば外部に公開するWebサーバは、ファイアウォールによりフィルタを一部解除し、さまざまな人がアクセス可能になっているはずである。また、ルータでアクセス制御をかけていたとしても、そこに悪意を持った大量のトラフィックが流れてきた場合、処理が追いつかずにルータがダウンしてしまう可能性がある。

　こうしたルータやファイアウォールでも対応しきれない不正なアクティビティ（不正アクセス）を監視し、被害に遭ったとしても何が起こっているのかその事実を迅速に把握し、それ以上被害が大きくならないような対策を検討できる仕組みが侵入検知システム（IDS）である。

　侵入検知システムが不正アクセスと判断する主要なものを3つ挙げてみよう。

偵察（Reconnaissance）
　存在するネットワークやシステム、ホスト、OSの種類やアプリケーション、バージョン情報を収集し、それらの情報から脆弱性などを発見するアクティビティである。具体的な方法の例として、ping パケットによるhost sweepあるいはport sweepがある。これはpingパケットを送出し、その返事があるかないか、あるいはどのような返事が返ってくるかによってホストの存在やそのホストで開始されているアプリケーションサービスの種類を収集することができる。これを基に、企業のネットワーク状況やホストの詳細データベースを第三者が作ることだってできてしまうのだ。

アクセス
　 許可されていない人が、ルート権限を持ったり特権モードへ移行してデータの操作を不正に行うアクティビティである。ゲストアカウントが許可されているシステムへ入り、そこからパスワードを見破ったり、盗むソフトウェアなどを利用したりしてパスワードを取得する。取得したパスワードを利用して、ゲストアカウントからrootへエスカレーションできたら、その後はクラッカーがシステムを思いどおりに操ってしまうだろう。

サービス妨害
　ネットワークやシステム、サービスが利用できないようにしてしまうアクティビティで、非常に有名なものである。例えば、Webサーバに大量のパケットを送り、その処理のためにWebサービスが止まってしまうといったことや、ディスクスペースを満杯にしてしまう、といったことが挙げられる。

　侵入検知システムは、こういった不正アクセス、アクティビティなどのセキュリティ上の問題を分析できるようにネットワークやシステムをリアルタイムで監視し、通知するシステムであるのだ。

　侵入検知システムは検知対象や検知方法によっていくつかに分類される。検知対象で分けると次のようになるだろう。

ホスト型IDS
　サーバなどのホスト自身への不正アクセスを監視する。OSやアプリケーションへのアタックや、バッファオーバーフローアタック、またシステムコールの悪用などから侵入を検知する。シスコ製品でもホスト向けの侵入検知システムを使用し、ホストへのアクセスを監視することが可能だ。

ネットワーク型IDS
　通常IDSといったらこちらのネットワーク型を指す。ネットワーク型IDSはネットワーク上での不正なアクティビティがないかどうかを監視する。監視したいネットワークにプロミスキャスモードのインターフェイスを接続し、そのネットワーク上に流れるパケットをすべてチェックする。

　次に検知方法による分類をしてみよう。侵入検知システムは不正アクセスの検知方式によりやはり2つに分けることができる。

プロファイル型IDS
　あらかじめ「正常なアクティビティ」を記憶し、そのアクティビティと大きく異なる状態があった場合、不正と見なす通常と異なるやりとりをすべて不正と見なすため、ユーザーのネットワーク利用環境が大幅に変わったときなどは誤検知の可能性が高くなる恐れがある。

シグネチャ型IDS
　不正パターンをあらかじめシグネチャとして登録しておき、そのパターンにマッチしたものを不正と見なす。多くのIDSはこちらの方法である。登録された不正パターンだけが侵入と見なされるため、未知の攻撃方法の場合、それを見落としてしまう可能性が高くなるという注意点と、不正パターンは日々進化するため、常にシグネチャのアップデートが必要になってくる。

■シスコの侵入検知システムで実現するセキュアネットワーク

　シスコのネットワーク型侵入検知システムは、アプライアンスセンサーと呼ばれる専用機とCatalyst6500に搭載するIDSモジュールが提供されている。どちらもシグネチャ型で、アプライアンスセンサーではおよそ400のシグネチャが工場出荷時に登録されている。

　シグネチャは2週間に1度以上アップデートが行われており、管理者はそのアップデートしたという通知をメールで受け取ることができる。Ciscoのホームページからいつでも最新のシグネチャがダウンロード可能なので常に新しい情報を利用して監視することが可能だ。また、シグネチャは自分でカスタマイズすることができるため、次のアップデートまでのテンポラリとしてシグネチャを追加することもできる。

　シスコの侵入検知システムは次の3つの要素から構成されている。

Cisco IDSアプライアンスセンサー……ネットワーク上を流れるパケットを監視し、不正なアクティビティを検知したり、通知したりする。

Cisco IDS Device Manager……Cisco IDS3.1から追加された機能で、Webブラウザを利用したセンサーの設定をするツールである。

Cisco IDS Event Viewer……Javaベースのアプリケーションで、センサーで検知したログをGUIで表示するツールである。アプライアンスセンサーのOSにバンドルされており、管理者のコンピュータにアプライアンスセンサーからダウンロードして利用する。

　Cisco IDS Device ManagerもCisco IDS EventViewerもWebユーザーインターフェイスのため（図1）、どこからでも確認したり、操作したりすることができ、非常に柔軟性の高いものとなっている。ただし、プロトコルにはSSLまたはTLSが必要となるため、ルータやファイアウォールなどで制限がかかっていないか、事前に確認をする必要はあるので注意したい。

図1　Cisco IDS Device Manageの画面はWebユーザーインターフェイス。画面からも分かるように、ここからさまざまな設定を行える

　センサーの配置場所は、企業の管理ポリシーによって違ってくる。外部からのアクセスが不安な企業は境界ルータが存在するネットワーク上にセンサーを配置することを考えるだろうし、公開サーバなどを置いているDMZネットワークを監視することを重要視するかもしれない。IDSを導入する際に気を付ける点の中でも最も重要なことは「何を監視し、どのようなパターンを不正アクセスと見なすか」というポリシーを作成することである。ポリシーを策定し、監視するネットワークが決定すれば、IDSを導入することが可能になるのだ。

　シスコのIDSは、動作の特徴から、2つのインターフェイスから構成されている。

Sensing Interface
　ネットワークを監視するために利用するインターフェイスで、sniffingインターフェイスとか、ステルスモードインターフェイスとも呼ばれる。監視ポートなのでネットワーク上でICMPのエコー要求パケットなどがきても返答することはない。

コマンド＆コントロールインターフェイス
　Cisco IDS Device Managerを利用して、センサーのコンフィグレーションなどを行うインターフェイス（図2）。

図2　Cisco IDSの概要。IDMはCisco IDS Device Managerのこと

　通常はout of band（共有ではなく、独自のネットワーク上）のネットワークに接続される。不正アクセスがある場合は、シスコのアプライアンスセンサーはこのインターフェイスからネットワーク上に存在するルータやPIXファイアウォールへダイナミックにアクセスリストを書き込んでフィルタリングすることが可能である（図3）。攻撃が収まれば、そのアクセスリストは消される。

図3　外部からアタックがあるとセンサーがルータへアクセスリスト（ACL）を書き込んでフィルタリングできる

■シスコの侵入検知システム製品

　シスコでは、専用デバイスであるIDSアプライアンスセンサーとCatalyst6500シリーズに搭載するIDSモジュールの2種類のほか、ホストIDS用ソフトウェアも提供している。それぞれ、監視対象とするネットワークの種類や、スループットが違ってくるので、監視するネットワークやトラフィックによって適した種類を選択するとよい。

「シスコの新しいセキュリティ資格、CCSPとは何か？」