ハニーポットの有用性を啓蒙する
――日本でもハニーポットの有用性というのは認められているのでしょうか。
小池氏: 有用性を認めてはいても、導入するのには躊躇しているというのが、実情のようです。日本のセキュリティベンダー数十社が集まっている会合で、自社システムの中にハニーポットを設置しているかという問いを投げかけてみたところ、設置していると答えたのはわずか2社にすぎませんでした。
このように設置が進まない理由としては、セキュリティホールをあえて設置することへの経験不足などからくる不安が挙げられます。しかし、適正に運用できれば、ハニーポットは、不正アクセスの炙り出し以外にも、大きな効果を発揮できるのです。
――ハニーポットを設置することで、どのような効果が具体的には見込めるようになるのでしょうか?
小池氏: まず、不正侵入検知対策としてIDSを導入する企業が増えていますが、IDSよりも遙かに高い効果が得られる点が挙げられます。ハニーポットは、実際に攻撃を受けると、攻撃をしてきている相手のログの収集を開始します。このため、IDSにありがちな、膨大なログの中に重要な情報が埋もれてしまう事態を防げます。そして、出力するログが少なくてすむと同時に、IDSのような誤検知はほとんどありません。さらに、対象がハニーポットにアクセスしている間だけ、ログを出力するため、対処しやすいという特徴があるのです。
――ハニーポットを普及させるためには、ハニーポットを起点として不正侵入が行われる可能性を極力低くする必要があります。
小池氏: ハニーポットを介した不正アクセスから防御するためには、いくつかの運用方法があります。単位時間にある一定回数以上、アクセスが続いたらネットワークを遮断したり、IDSを逆向きに利用して明らかに攻撃と分かるものはパケットを廃棄したりするといった手法が利用できます。
ハニーポットは、用途によってさまざまな対話レベルのものを使い分ける必要があります。対話レベルの高いものは、不正アクセスしてきた相手に支配させたように見せ、実際にはさまざまなログを収集するといったことが可能ですが、メンテナンスの負荷が高くなります。一方、対話レベルの低いものはメンテナンスが楽ですが、おとりであることを見抜かれる可能性が高くなります。もちろん、最終的にはメンテナンスフリーで運用できるものが理想だと考えています。
ハニーポットは、脆弱性をあえて作るので、先に述べたように導入に躊躇されるケースも多いのですが、適切な運用ができれば、ツールを用いて不正アクセスを行われる危険性は低くできます。私のような研究者は、そのあたりをきちんと啓蒙していく必要があると考えています。
(第16回へ続く)
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」