侵入検知・遮断システムにおける誤検知に関し、システムの製作者と利用者との間で認識の違いが生じている点について調査を行った。 システムの製作者が誤検知と認識しているのは、システムの能力が十分でないなどの理由により、ネットワーク上を流れるパケットの処理が間に合わず、全てのパケットを調査できないことに起因する侵入行動の見逃しや、システムに対して検知対象として設定することのできない攻撃行動が存在することで正しく侵入行動を検知できない場合に、誤検知と判断する。しかし、「システムの検知対象として設定できない攻撃行動はない」という場合でも、非常に煩雑な設定を行わなければならず、実質的には利用できない状況も存在する。 一方、システムの利用者は、自身が望む検知結果が得られない場合に、広く誤検知と認識する。ここで言う誤検知の多くは、システムに対する設定を適切に行うことで削除できるものである。そのため、「管理者が望む」検知結果を得られるようなシステムの設定を行うことが重要となる。しかし、侵入検知・遮断システムの設定は、システムのユーザにとって柔軟でわかりやすいものではない。そのため、システム導入時に設定した状態で運用を続けていたり、配布されている設定情報をそのまま用いている例も多い。これでは、望む検知結果が得られないのも当然である。 ここでは、単に「望む検知結果」とだけ示したが、これも場合により大きく異なるので、注意が必要である。これを決定する要因としては、利用者の誤検知に対する考え方が一番大きな要因であるが、同じ利用者であっても、管理対象とするネットワークの重要度や、ネットワークでどのようなサービスを提供しているのかにより興味の対象は変化する。そのため、これらを柔軟に記述できる能力を持った設定手法が必要になることが判明した。
|