e知識「e-chishiki.com」では、インドでの著名なIT著者、IT教育者、eセキュリティーの大家により作成された様々な種類のプログラミング言語に関する技術的なコンテンツを知識情報データーベースとして提供します。
週刊eセキュリティシーリズ(Web アプリケーションセキュリティ)
Web 攻撃に対処するうえで IDS の実装は有効か
Vijay Mukhi
Sans トップ 20 や OWASP トップ 10 など、最近はどの e-セキュリティ Web サイトを訪れても、Web アプリケーション攻撃が攻撃全体の 75% 以上を占めるという見方で一致しています。だれもが標的にされていると感じるようになり、5 年ほど前まで予想もしていなかった脅威が、突如としてあちこちで話題に上るようになりました。世界中のあらゆる企業が、e-セキュリティ兵器庫の主要コンポーネントおよびツールとして侵入検出システム (IDS) を使用しており、中でも Snort というオープン ソース製品が最も優れていると見なされています。この記事では、時代が変化したことをふまえて、侵入検出システムを実装することで新種の攻撃を検出できるのかどうか、および侵入検出システムは必要悪なのかどうかという点を検証します。
侵入検出システム(IDS)の進化
IDS は、シグネチャやルールのデータベースを調べて、会社のネットワークが攻撃を受けている場合に警告します。この概念は、IP、TCP、ICMP、UDP などのネットワーク プロトコルの設計の抜け穴や、オペレーティング システムの弱点が攻撃の標的にされていた、インターネットの初期の時代に導入されました。当時は、バッファ オーバーフロー、SYN フラッド、サービス拒否などの攻撃が猛威をふるっていました。IDS の基本設計は、会社のネットワークとオペレーティング システムに対する下位レベルの攻撃を検出したときに警告を発するというものでした。
やがて、オペレーティング システムの抜け穴が修正されると、攻撃の対象はビジネス層に移りました。新種の攻撃では、Web ベースのアプリケーションや、プロトコル チェーンのかなり上層にある HTTP プロトコルを使用するアプリケーションが標的になっています。攻撃ベクトルの変化に伴って、IDS の既存のルールを書き直し、新しいシグネチャとパターンを導入する必要があったことは言うまでもありません。最終的に、IDS は当初の設計とまったく異なる製品に進化しました。
