CTCSPが提案する『セキュア・プラットフォーム・ソリューション』（２）

　今週は、「DMZプロテクション」についてご提案いたします。

■一般的なセキュリティ対策

　一般的に各企業が最初に取り組むセキュリティ対策と言えば、Firewallの導入であるといえるでしょう。このFirewallを使用し、外部と接している「External（Untrusted）ゾーン」、外部からのアクセスを許可しない「Internal（Trusted）ゾーン」、そしてWebサーバ等、外部からのアクセスを許可している「DMZ（非武装）ゾーン」といった3つのゾーンに分割します。これは、「アクセスする利用者に対して、必要なだけのアクセスを許可する」ということを意味しています。しかし、この内の「DMZ（非武装）ゾーン」は外部からのアクセスを許しており、本質的に外部からの不正なアクセス等脅威にさらされているゾーンであるといえます。

　そこでFirewallを既に導入した企業は、次の一手として、DMZの本質的なセキュリティの脆弱性を補強するために、IDS（侵入検知システム）の導入や、導入の検討を始めます。このIDSは侵入の疑いがある行為を発見するとアラートを通知します。これをきっかけに被害の範囲の認識や、攻撃相手の特定、原因の究明、さらに対策の検討、実施へと段階的に対応を行っていきます。

　このようにして、現在ではセキュリティ対策と一概にいっても一製品では到底対応し切れません。各企業様がそれぞれ自社のネットワークのどこに脅威を感じ、どのように対策を立てるのかが非常に重要になってきています。

■現在直面している課題

　公開サーバを始め、外部との通信を許可している以上、それ相応の対応策を検討しなければなりません。上記のように、次の一手としてIDSの導入が進んできてはおりますが、ここにユーザの新たな痛みが発生しているのが現状です。
これには2つあると考えられます。

（1）アラートが非常に多く、運用に負荷がかかっているIDSが発するアラートが非常に多く、限られた運用者では対応しきれず、本来重要なアラートが見過ごされる危険性が潜んでいます。また、どうしてもパターンマッチングで不正アクセスを特定する為、誤検知の発生は免れないことからもアラートの数はますます増加しています。

（2）IDSは本来侵入の疑いがある行為を発見するとアラートを通知するだけで対応は事後となるIDSがアラートを発出した場合、運用者はこのアラートに対応する時間は一刻一秒を争うこともあるのです。これはIDSはあくまで不正アクセス行為に対して事後対応であるということに起因しています。そこでどのようにすればアラートの検知から対応までの時間を最小限に抑えることができるだろうかといったことも頭の痛い問題であると思われます。

シーティーシー・エスピー
http://www.ctc-g.co.jp/~ctcsp/

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml