Part3 IDSを使いこなす
IDSは,ただ単に設置しただけでは,うまく活用することができない。IDSを活用するためには,自社システムに合わせたチューニング作業が不可欠になる。Part3では,IDSのチューニング方法を見てみる。 ここまでIDSのしくみについて見てきたが,もう一つ押さえておきたいことがある。それは,シグネチャのチューニング作業である。 チューニングは不可欠 IDSを設置し,アラート(警報)を送るようにすることは比較的簡単にできる。ネットワークに正しく設置すれば,IDSはすぐに数々のアラートを送り出すだろう。しかし,これは長い道のりの終わりではなく始まりである。アラートが出るたびに調査・調整を行い,本当の攻撃と誤検知を見極める必要があるからだ。 この作業を行うには,大変な時間と労力,そしてそれなりの経験と知識が必要になる。典型例としては,存在しないIPアドレスに対する攻撃を無視するようにしたり,自社システ
Part2 IDSのしくみを知る
では,IDSはどんな方法で,危険な通信を判断しているのか。Part2では,その検知方法について,詳しく解説していこう。 実際に,IDSではどのように「危険」な通信を判断しているのか,その検知方法についても確認しておこう。 危険な通信を検知する方法は2種類 検知方式は大きく二つある。一つは「シグネチャ型」と呼ばれるもので,もう一つは「アノマリ型(異常検知型)」と呼ばれているものである(図1)。 従来から広く利用されてきた伝統的な方式はシグネチャ型で,パターン・マッチングによって通信パケット内に不正なビット列などが入っていないかを調べる。この方式では,不正なものをあらかじめルールとしてデータベースに登録しておく。これが「シグネチャ」と呼ばれるものである。そして,IDSのセンサーがキャプチャしたパケットの中身をシグネチャの情報と比較して一致するものがあれば,不正パケットだと判断を下す。 この場合
Part1 IDSの役割
Part1では,ネットワークを流れるパケットやコンピュータ内部の挙動を監視して,不正な動きを検知するシステムであるIDSの基本的な構成要素や設置場所について,解説していこう。 IDSは,ネットワークを流れるパケットやコンピュータ内部の挙動を監視して,不正な動きを検知するシステムである。ネットワークを流れる通信パケットをキャプチャして不正なものが流れていないかを検知する「ネットワーク型」と,コンピュータに入れてそのコンピュータの通信や内部のファイル構成の変更などを調べて不正を検知する「ホスト型」がある。 ここではファイアウォールと組み合わせて使うことが多いネットワーク型を説明する。 基本的な構成要素はコンソールとセンサー IDSをネットワークのどこに配置するのかを理解するために,まずはIDSの基本的な構成要素を押さえていこう。通常,IDSは「センサー」と「コンソール」という二つの要素で成り立
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
