PR

「検疫」の必要性

 家庭で感染し,気づかないまま持ち込まれるPCを水際でストップするためには,「検疫」の導入が必要だろう。

 「検疫」とは,言い換えれば持ち込みPCの異変を検知することだ。企業や組織の「ネットワークに入り込む=持ち込まれる」PCを,簡単な仕組みですべてチェックするという考え方である。パケットをばら撒くという特徴を踏まえれば,単にハブにつないで,通信状態を示すランプが異常に点滅していれば,それと分かるだろう。

 これを応用し,検疫所で「検疫」を行ったり,検疫装置をつないだりすれば,少なくともばら撒き型ワームの存在を検知できるだろう。

 しかし,例えば実世界で,ウイルスや伝染病を国際空港の検疫だけで食い止められるかというと,必ずしもそうとは言えないのと同じように,「検疫」しているからといって安心できるわけではない。「検疫」をすり抜けてくる脅威も想定しておかなければならない。

 ネットワーク構成上の最小単位には,例えばスイッチング・ハブやルーターのような,核となるネットワーク機器が設置されているはずだ。この機器のトラフィックをモニターすれば,何らかの異変を検知することができる。というより,ネットワーク管理と言えば,各機器の状況をモニターする仕組みのことを指すわけで,きちんと管理している組織であれば,すでにトラフィック・モニターくらい行っているはずだ。実際,トラフィックが異常に増えるなどの変化は,何らかのトラブルを示していることが多い。

 ただ,トラフィックの変化だけを追いかけている場合,それがネットワーク・トラブルによるものなのか,ワームなどのインシデントによるものなのかの判断が難しい。冒頭の調査レポートに示される傾向から,例えばワーム発生後の週明け月曜には特別態勢を採り,可能な限りのトラフィックをモニターするという方法も考えられるが,毎回,特別態勢のために動員するというのも苦しいところだ(まだ現時点では数カ月に1度くらいのものだろうが…)。となると,もう少し検知しやすい,かつピンポイントで動けるような警報装置的な仕組みを導入したい。

効果が高いのはIDS

 トラフィック・モニターを基盤に考えると,例えばトラフィックの異常な増加を検知して,警告メールを管理者の携帯電話に送付するような仕組みがいいのではないだろうか。ただ,しきい値を賢く設定するようなスクリプトにしておかなければ,ひっきりなしに電話が鳴ってしまうかもしれないが…。

 トラフィック・モニター以外の手としては,IDSの導入が考えられる。IDSの導入というと,ものすごく大層なことに聞こえてしまうが,そうではない。SnortのようなフリーのIDSを,機能を絞った形で導入すれば,思ったよりコストはかからないはずだ。さすがにトラフィック・モニターと同程度の密度で入れられるようなものではないが,もっと大きなセグメントに一つくらいの割合で導入すれば,インシデントの検知には大いに役立つはずだ。

 IDSはトラフィック・モニターよりもピンポイントでインシデントを検知してくれるし,検知した時点で何が起こっているのかを特定する材料を多く提供してくれる。当然,外部からの侵入だけでなく,内側の脅威にも実効ある対策なのだ*

* とはいえ,やはりIDSは導入時のコスト,管理の手間,管理コストがかかるものだ。本来は,例えばワームのような明らかに業務に支障を来たすようなものに限って検知できる程度の,IDSというよりは,もっとシンプルで安価,かつ管理の手間がかからない検知の仕組みがほしいところだ。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。