PR

11.4 ネットワーク侵入検知システム,ホストベース侵入検知システム,侵入防止システムを使用して,すべてのネットワーク・トラフィックを監視し,セキュリティ侵害の疑いがある場合は担当者に警告させる。すべての侵入検知および防止エンジンを最新の状態に保つ。

 PCI DSSでは,すべてのネットワーク・トラフィックを監視し,不正な侵入を検知および防止することを求めている。侵入検知については,侵入検知システム(IDS)を利用した検知がある。監視の仕組みの違いから,ネットワーク型の侵入検知システム(NIDS)とホスト型の侵入検知システム(HIDS)に分類される。最近の傾向では,IDSといえばネットワーク型のネットワーク侵入検知システムを指す場合が多い。ネットワーク侵入検知システムは,不正なアクセスの検出方法の違いから,パターンマッチ・タイプ,アノーマリ・タイプ,ビヘイビア・タイプに分類される(表5)。

 なお,日々新しい攻撃手法が攻撃者によって生み出されているため,パターンマッチ・タイプのシグネチャ(攻撃パターンの定義ファイル)は常に最新に保つ必要がある。また,ネットワーク侵入検知システムは,監視するネットワークのトラフィック量が多い場合,パケットを取りこぼして検知ができない可能性も考えられる。侵入検知システムをファイアウォールの内部に設置するなど,設置場所(監視場所)の選定については注意が必要である。

 PCI DSSでは,侵入防止システム(IPS)の使用を求めている。侵入防止システムは,簡単に言えば侵入を検知すると同時に遮断するシステムである。検知方法は,ネットワーク侵入検知システム(NIDS)とほぼ同様であるが,不正なアクセスを遮断する機能があることから,ネットワーク内にブリッジとして設置し,すべての通信パケットを侵入防止システムが転送する必要がある。そのため,侵入防止システムの性能によっては,ネットワークのボトルネックとなってしまう場合が考えられる(図8)。

図8●IPSがボトルネックになってしまう例
図8●IPSがボトルネックになってしまう例

 最近はUTMとして,ファイアウォールとVPN機能をベースに,アンチウイルス,不正侵入防御,Webコンテンツ・フィルタといった,複数のセキュリティ機能が統合された機器が注目を浴びているが,機能が多い分パケット処理の負荷が高い。複数機能を同時に動作させるとボトルネックとなる場合があるので,機器の選定には注意が必要である。また,誤検知によって正常な通信も遮断してしまう可能性や機器障害によってすべての通信を止めてしまう可能性もあり,冗長構成を検討するなど,導入にも注意が必要である。