|
侵入検知・遮断システムにおける誤検知に関し、引き続きシステムの製作者と利用者との間で認識の違いが生じている点について調査を行った。
システムの製作者が誤検知と認識しているのは、システムの能力が十分でないなどの理由により、ネットワーク上を流れるパケットの処理が間に合わず、全てのパケットを調査できないことに起因する侵入行動の見逃しや、システムに対して検知対象として設定することのできない攻撃行動が存在することで正しく侵入行動を検知できない場合に、誤検知と判断する。しかし、「システムの検知対象として設定できない攻撃行動はない」という場合でも、非常に煩雑な設定を行わなければならず、実質的には利用できない状況も存在する。
一方、システムの利用者は、自身が望む検知結果が得られない場合に、広く誤検知と認識する。ここで言う誤検知の多くは、システムに対する設定を適切に行うことで削除できるものである。そのため、「管理者が望む」検知結果を得られるようなシステムの設定を行うことが重要となる。しかし、侵入検知・遮断システムの設定は、システムのユーザにとって柔軟でわかりやすいものではない。そのため、システム導入時に設定した状態で運用を続けていたり、配布されている設定情報をそのまま用いている例も多い。これでは、望む検知結果が得られないのも当然である。
両者の認識の相違は、両社の立場の違いに起因するものであり、どちらの考え方が正しいというものではない。しかし、「脅威」を形式的に定義しようとすると、よりあいまいさの少ない、システムの製作者の考え方と似た捕らえ方で「脅威」を捕らえることになることがわかった。
また、システム製作者の考え方を基本とし、利用者の考え方も加味した、誤検知を定義するための記法について検討した。これはまだ検討段階であり、具体的な成果等はまだ上がっていない。
|
