本研究の評価

いはその両方を同時に処理する．RICASはネットワーク管理者に通知すべきセキュリ ティイベントの発見により，セキュリティイベントの情報をある程度集約した上でネッ トワーク管理者にメールで送信する．

RICASは単独のセキュリティイベントをリスク評価するためにセキュリティイベン

トのパラメータ，S-NIDSによるリスク評価結果を利用している．セキュリティイベン トのパラメータとS-NIDSによるリスク評価結果はそれぞれデータベースに格納され ている．これらのパラメータと予め指定した条件とが一致すればネットワーク管理者 に通知する．OS情報を元にしたリスクを評価するためにはlibosresを使用する必要が あるが，libosresはC言語向けに開発したライブラリであるためPHPから関数を呼び 出せない．そこで，標準入力からパラメータを渡すと標準出力からリスク評価結果を 返すプログラムを作成し，PHPスクリプトから別プロセスとして呼び出す手法を採っ た．セキュリティイベント発生状況の異常の検知は，セキュリティイベントの種類毎 に閾値を設定し指定した時間内に閾値を超える数のセキュリティイベントが発生すれ ば通知する．

8.3 _{本研究の評価}

本節では，NIDS運用の効率が本研究で提案したシステムの導入によって改善されて いることを示す．

8.3.1 リスク評価可能項目の比較

表8.1に従来のNIDSが検知した各セキュリティイベントの評価の可能性と，S-NIDS

とOSRESを利用した評価の可能性とを比較している．着目すべきは，外部からの不

正侵入の試み，外部からの調査行為，そして内部および外部からのプロトコル異常で ある．

不正侵入の試みと調査行為は第5章で述べたとおり，Session based NIDSによって大 部分のセキュリティイベントが評価可能となる．さらに不正侵入の試みや調査行為に 対する応答がない，あるいは応答が不定であっても，OSRESを用いてリスク評価でき るセキュリティイベントがある．評価した結果についても第5.7.1項や第6.7節で述べた 通りセキュリティイベントのリスクを評価し，検知したセキュリティイベントの大部 分がリスクの低いセキュリティイベントであった事実を示しており，従来のNIDSと比 較すればリスク評価可能性があるセキュリティイベントが増えている．

第5.8.3項でも述べた通り，S-NIDSは応用されたルールの記述によってプロトコル

異常とその応答を監視できる．従来のNIDSが検知するプロトコル異常は，発生頻度 の変化や解析フェイズにおける手がかりの取得程度にしか利用できなかった．S-NIDS はプロトコルに異常が起きたトラフィックに加えて，その応答もプロトコル異常が起き ているか調査し，双方に異常があれば注目すべきセキュリティイベントとして高リス

8.3. 本研究の評価 第 8章 運用効率化の実現

表 8.1: NIDSが検知できるセキュリティイベントとその特性

セキュリティイベントの種類 送信元 従来のNIDS S-NIDS，OSRESの利用

不正侵入の試み 内部 ○ ○

外部 × ○

調査行為 内部 ○ ○

外部 △ ○

プロトコル異常 内部 × △

外部 × △

不審なトラフィック 内部 × ×

外部 × ×

悪意のあるプログラムの活動 内部 ○ ○

外部 × ×

ポリシ違反 内部 ○ ○

外部 ○ ○

サービス妨害攻撃 内部 ○ ○

外部 ○ ○

クの判定を示せる．このような仕組みを利用し，プロトコル異常についても自動的に リスク評価できるセキュリティイベントの幅を広げている．

従来のNIDSではネットワーク管理者が判断，解析しなければならないセキュリティ イベントが多く，管理者は負担を下げるために解析するセキュリティイベントを限定 しがちであった．そのため，NIDSの目的の1つである「リスクの高いインシデントの 早期発見」を達成するためには，自動的にリスク判別できるセキュリティイベントの 種類を増やしネットワーク管理者の負担を軽減することが重要となる．これまでで述 べたとおり，本研究によってNIDSが検知したセキュリティイベントのリスク評価を従 来より容易にしている．これにより「リスクの高いインシデントの早期検出」の達成 を促している．

8.3.2 全体的なセキュリティイベント把握の容易化

Bishopは視覚化処理によって多数のセキュリティイベントログを要約し，Webブラ

ウザを通して閲覧できる．Webブラウザを表示しているモニターの解像度が1024×

768（XGA）の場合，Webブラウザを画面上に最大で表示すれば約100,000件のセキュ

リティイベントログを約4,5画面あまりで表現できる．第7.5.4項で示した通り500台程 度のホストが接続するネットワークで１日あたりに発生するセキュリティイベントロ

グは約70,000件程度であり，その表示速度も実用範囲内である．約70,000件のセキュ

リティイベントログをリスト表示によって全体像を把握するのは，膨大な作業負担で ある．また，一般的なグラフ化手法ではセキュリティイベント発生状況の把握が困難

8.3. 本研究の評価 第 8章 運用効率化の実現

な点については第7.2.1項で述べた通りである．本論文で実装したBishopを用いること で，従来手法に比べてセキュリティイベントの異常発生を検知するための負担が大幅 に軽減される．また，第7.5.2項では，時間軸に沿った視覚化により関連性があると考 えられるセキュリティイベントの特定を容易にしている実例を示した．

以上の成果により，手動によるセキュリティイベントの異常発生検知，そして解析 時に関連するセキュリティイベントの抽出を容易にし，リスクの高いインシデントの 早期検出とインシデント発見後の調査の負担を軽減することができた．

8.3.3 導入によるコストと効果の変化

本論文で提案したシステムの導入によって全体的にかかるコストと軽減されるコス トについて論じる．それぞれをまとめて表8.2に示す．

導入時のコスト 各システムを導入するために新たに必要となるコストは各ソフトウェ アのインストール，データベースの設定，そして運用方針に基づいた自動通知項目の設 定が挙げられる．各ソフトウェアのインストールはSession based NIDS，DHCP gazer，

Bishop，RICAS，そしてlibosresである．各ソフトウェアはそれぞれ1つずつインス トールされていればよく，内部ホスト全てにソフトウェアをインストールする必要は 無い．運用方針に基づいた自動通知項目の設定は，管理ネットワークによって基準や 対象となるセキュリティイベントが異なる．特にポリシ違反に属するセキュリティイ ベントは組織によって全く異なるため，運用方針を定めた上でリスクが高いと判断す る基準を設定する必要がある．

監視コスト 監視フェイズでは多数のセキュリティイベントログの全体像把握作業が 容易になり，さらに手動によってネットワーク管理者が自らリスク評価をしなければ ならないセキュリティイベントが減少する．従来のNIDSはリスク評価作業と全体像 の把握作業が運用コストの大部分を占めていたため，この2つによって軽減されるコ ストは大きい．また，監視フェイズで新たに必要とされる運用コストは無い．

解析コスト 従来のNIDSではリスク不明なセキュリティイベントが多く，このよう なセキュリティイベントを解析しない運用体制も多くあると考えられる．自動的にリ スク評価できるセキュリティイベントが増えることで，高いリスクと判断されたセキュ リティイベントが以前より増加し解析作業が増える可能性は高い．しかしリスクの高 いセキュリティイベントの発見はNIDSの目的に則しているため，このコストは必然 であると言える．また，解析における関連セキュリティイベント発見のための作業は 負担が低下しており，無駄な運用コストが増えることは無い．

調整コスト 調整フェイズでは自動通知項目の調整をする必要がある．リスクが高い と判断されたセキュリティイベントでも，被害を起こさないインシデントもある．そ のため，ネットワーク管理者に通知するための閾値を解析から得られた結果にもとづ