お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

情報セキュリティをめぐる聖戦

2004/05/19 10:00
  • このエントリーをはてなブックマークに追加

 IT業界が製品と技術をめぐる宗教戦争をしたがるのはなぜか。

 熱狂者らが、「LinuxはWindowsを超える」、「非同期転送モード(ATM)の時代は終わった」あるいは「世界がIP(Internet Protocol)電話に移行しつつある」と書かれた垂れ幕を掲げているところを見ると、常に新たな戦争が起こされているようだ。これらの議論は情熱を沸き立たせ、トレードショーでの活発な会話のネタとなっている。

 しかし、宗教戦争は娯楽的要素を除けば、常に不毛な戦いであり、ユーザーを困惑させるだけだ。

 そのような観点から、情報セキュリティ分野の分裂を招いている長期に渡る宗教戦争について考えてみよう。この戦争では、侵入検知システム(IDS)と侵入防止システム(IPS)のそれぞれの利点をめぐり、双方の支持者が火花を散らしている。

 IDSとIPSをめぐる戦争は2003年中頃から特に激しさを増してきた。当時、業界の専門家グループが、IDSは優位性を増しつつあるIPSによって絶滅に追い込まれると宣言したためだ。この宣言により、争いが解消されるどころか、世間一般の困惑がさらに助長される結果となった。そのため、ユーザーはシステムを買い控え、ネットワークを不十分な防御のまま放置し、数多くのサイバー攻撃を受けた。

 ここで事実関係を明確にしておこう。

 IPS機器はセキュリティ検問所の役割を果たす。ゲートウェイを通過するパケットは、いくつかの基本的なスクリーニング(検査)を受けるが、IPSを導入することにより、そのスクリーニングがはるかに厳密に行われるようになる。IPS機器は全ての潜在的なセキュリティ脅威を捜すわけではなく、既知の問題点や明らかに不審な振る舞いをしているパケットを見つけ出す。

 プロトコルに違反したり、悪意あるペイロードを含むパケットは問答無用で削除される。IPS機器はこのタスクを行うため、セキュリティインフラ内で積極的な役割を果たす。同機器は企業ネットワーク上に設置され、ルータやスイッチのように各パケットについて決定を下す。

 IDS機器はより受動的で、セキュリティカメラのような役割を果たす。セキュリティカメラは、違法行為を発見するが、実際に侵入を阻止するのは人間だ。IDS機器は、オフラインの状態で通過するパケットを監視することによって、セキュリティカメラと同様の機能を果たす。IDSは明らかに不審なパケットを発見すると、警報を鳴らす。その後に警告について再調査を行い、適切な措置を講じるのはセキュリティ管理者の役目だ。

 ここで、再び宗教戦争の話に戻る。IPSの熱狂的支持者は、最近のセキュリティ脅威に対し早急な対策が求められるとした上で、IDSはサイバー攻撃に対する防御としては、あまりに受動的すぎると指摘する。さらに彼らは、IDS機器はあまりに被害妄想的だと語る。IDSは無数の誤った警告を発し、膨大なセキュリティ警告の中から脅威につながる問題を発見する責任を、他にも数多くの仕事を抱えるセキュリティ管理者に負わせている、というのが彼らの言い分だ。

 ちょっと待って。これらの機器は、悪意ある行動を阻止するためではなく、検知するために設計されているため、侵入検知システムと呼ばれているのだ。セキュリティカメラは泥棒が現れても、魔法のように獰猛な番犬に変身しない。誤警告については、IDSは過度に反応するように設計されているのだ。誤警告があまりに多すぎるって?それなら、システムを調整すれば問題ない。環境はそれぞれ異なるのだから、ユーザーはデフォルト設定に頼ることはできない。設定の変更には多少労力がかかるが、システムの調整には手間がかかるものと相場が決まっている。

 IDSの熱狂的信者にも独自の熱烈な主義主張がある。彼らの指摘によると、IPS機器はネットワークを減速させたり、ボトルネックとして作用したり、あるいは正当なトラフィックを遮断する可能性があるという。これらの批判は正当な根拠に基づいていたが、もはや真実とはいえない。今日のIPSシステムは、電光石火の速さで処理を実行するコンポーネントで作られており、ほぼ全てのネットワークのスピードに対応できる。可用性を維持するため、IPS機器をクラスタ化し、防御の可用性を高めることができる。また、IPSの場合も、正当なトラフィックを通過させる一方で悪意あるコードを遮断するには、システムの調整が重要になる。

 IDSとIPSは両者を併用することで、最も高い効果を発揮する。IPS機器が既知の敵対的コードを遮断する一方で、IDSが現在および過去のセキュリティ問題に目を光らせる。つまり、IDSとIPSのどちらか一方を選択するのではなく、2つを併用することにより、最高水準のセキュリティ防御を実現できるのだ。

 企業は業務ニーズに基づいて決断を下す。 IT問題について独断的態度をとる人々はおそらく、彼らの雇い主の役に立っていない。彼らはひたすら、自分のためのITをめぐる聖戦用に歩兵を雇っているにすぎない。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社