進入検知（IDS)を導入したい

企業LANに侵入検知システムを入れようと思い、各社に見積を取ろうと思っています。
企業LAN自体も新規に導入するため、どのような障害があるか予測がつきません。
進入検知システムを導入するにあたり事前に確認しなければならないポイントや、見積依頼に必要な情報、導入ノウハウなどをご存知でしたら教えてください。

No.2 ベストアンサー 回答者： noname#14035 回答日時： 2004/01/27 13:38

こんにちは。

のっけから揚げ足を取るようで恐縮ですが、「進入検知」ではなく、”侵入検知”が正しい用語です。

本回答について、いささか失礼な物言いと感じるかもしれませんが、良かれと思って書きますので、ガマンして付き合っていただければ幸いです。

さて、セキュリティーを意識される事は大変良いことだと思いますが、「IDSの導入」という結論に至る背景や情報（下に列記します。）のご説明があまりに不足していて、ズバリの回答をする事が出来ません。

●1.会社としての管理体制と貴殿の立場
↓
あなたがシステム（ネットワーク）管理者あるいはその窓口にあたるということでしょうか？

ご質問中に「見積書」とありますが、これは単純に「ソフトウェアベンダーに対する製品の購入見積もり」、それとも「セキュリティー・ベンダー（コンサルティングを含めた業務委託）などへの導入費用の見積もり」を依頼するということなのでしょうか？

要するに、「会社側で設計・導入・運用・管理を行う」のか「セキュリティー・ベンダへ委託（YESであればその範囲）」によって検討・準備する内容や今回お話すべき内容が全く違ってくるということです。

●2.構築するネットワークの内容
↓
「サーバー（サービス）の有無」「ネットワークの規模や形態（想定される業務やシステムの内容）」などによって話が全く変わってきます。

この部分がはっきりしないと全く話が見えてきません。

サーバーを運用するのであれば、外部からの脅威の想定（もちろん「提供サービスの内容」や「守るべき対象や強度」によって条件はさまざまでしょう。）が必要になりますし、サーバーなしの運用でも、内から外への接続を許可するか否かによって想定すべき内容は千差万別でしょう。


●3.「IDSの導入」という結論に至った理由は？（何が目的なのか？）
↓
上記2.の話にも関連しますが、IDSはあくまで「ネットワーク上の情報を監視する基盤を提供するもの」であり、「何を監視するのか。」という明確な目的をもとに「誤検知を減らしながら有効な監視を実現する設定（何をどのくらいの精度で見張るのかということ）」を施した上で、「継続的なメンテナンスと監視」「アラートへの正しく迅速な対応」といった条件が整った上で初めて有効に機能します。

つまり、「～の仕組みを入れればセキュリティー強度があがる。」というものではなく（もちろん最低限必要な項目はありますが）、いわゆる「セキュリティー・ポリシー」に基づいた全体的なセキュリティー設計の中で採用する仕組み（システムやソフトウェアなど）を決定すべきだということです。（これは「ファイアーウォール」など、その他のセキュリティー技術（システム）全般にもいえることです。）

IDS導入の目的は、「外部からの侵入検知」「内部から外部へのトラフィック監視」「ノードの保護」「障害対策としてのネットワーク監視」など様々で、目的に応じて「ネットワーク型」や「ホスト型」など設置箇所や形態も変わってきます。

また、要求される内容によっては「IDSの導入」が絶対正解とはならない場合もあると思います。

前述したように、IDSはあくまで「何か様子がおかしいですよ！」という警告をしてくれるだけですから、相応の知識を持った管理者が対応出来なければ（あるいはそれを実現するシステムやサービスを用意しなければ）効果半減という側面もあります。

最近は侵入検知と「積極的な防御」を組み合わせた製品も登場してきていますが、まだまだ「警告のヤバさの度合い」を判断し効果的な対応を行う管理者（組織）が重要である事に変わりはありません。

IDSに関するより詳しい情報は下記のURLなどを参考にしてみてください。

＜＠IT記事　【特集】 不正侵入対策最前線 （前編）～不正侵入の現状とトータルセキュリティのススメ～＞Copyright(c) 2000-2004 atmarkIT
↓
http://www.atmarkit.co.jp/fsecurity/special/07id …

さて、長々と書いてきましたが、私が現在抱いている印象としては、「セキュリティー対策も含め、ネットワーク設計に関する全体的な相談ができるベンダーに相談するべきでは？」ということです。

下記のサイトなどからもトータル・ソリューションを実現するベンダの情報が多く見つけられると思います。

＜ITmedia -News -Security>
↓
http://www.itmedia.co.jp/news/

中途半端な知識で場当たり的なシステムをつくっていってしまうと、「費用対効果が出ず、管理も大変。」といった状態になりがちだと思います。

もちろん、”金”はかかりますが、会社としてのきちんとした目的をもとにある程度の知識を持った窓口（担当者）を設け、複数のベンダからとった相見積もりをもとに計画していくほうが、長い目で見て得策のような感じがします。

もちろん、自前の管理者（組織）が全てを決定・導入・運用できれば人件費を別にした導入・ランニングコストは下がりますから、多くの企業ではそのような方法をとりたがると思います。

しかし、一人前の管理者になるには数年の実務経験が必要な上、ネットワーク（システム）管理は「深い知識と継続的なメンテナンス」を必要とするため、多くの企業ではうまく機能していないのが現実だと思います。（ましてや畑違いの一般社員に任せるような仕事ではないはずです。）

ベンダに依頼する場合でも、言いなりにならないために自組織にもある程度の知識をもった担当者は必須だと思いますが、長い目で見た場合、「人件費」や「情報価値や有事の際の損失」を含めたトータルコストの面でも有利なケースが多いはずです。

上司を説得する際にも、「危険ですから対策しましょう。」ではなく、「ベンダを使ったほうが銭勘定の面でもお得ですよ。」という論調で攻めたほうが効果的だと思います。

直接回答になっていない部分も多く、後半は話がそれてしまいましたが、すこしでも参考にしていただければ幸いです。

補足事項や疑問点などがあれば、どうぞ。

それでは。

この回答へのお礼

大変お詳しい回答ありがとうございました。
サーバ群に不正にアクセスしてくるユーザを内外問わず検知させようと思っています。

管理者はセキュリティにあまり詳しくないのですが、教育も含めてセキュリティコンサル会社に相談してみようと思っています。

お礼日時：2004/01/27 18:35

No.3 回答者： ootsu 回答日時： 2004/01/27 14:41

LANも稼動していない時点でのIDS導入検討というのは、いい心がけだとは思いますが、実運用が見えていないのではないでしょうか？入れるのはたやすいですが、運用が大変です。

結局アラートがあがってこないようにポリシーを緩やかにしたりするのでは意味ないですからね。

#2さんも言ってますがIDSで何を検知するか、何を守るのか？ということを明確にしないといけないんじゃないかなと思います。

私のイメージとしては、IDSは、LANを守るというよりは、特定のサーバーとかWEBサイトを守るというイメージです。

LANを守るということであれば、
http://www.motex.co.jp/product/cat3/cat3.html
こういう製品を検討してPCともども不正侵入を検知して管理していかないといけないかなと思っています。

参考URL：http://www.motex.co.jp/product/cat3/cat3.html

この回答へのお礼

ありがとうございます。
ご指摘のとおり、セキュリティポリシーを明確にしてから決めたいと思います。

お礼日時：2004/01/27 18:36

No.1 回答者： 12m24 回答日時： 2004/01/27 11:59

侵入検知では、Linuxの「Snort」が有名です。

参考URL：http://www.snort.gr.jp/

この回答へのお礼

ありがとうございました。

お礼日時：2004/01/27 18:32