Linux IDS/EDR と CDR の比較

SHARE:

Linux侵入検知・対応(IDS)、Linuxエンドポイント検知・対応(EDR)、およびクラウド検知・対応(CDR)は、システム内の異常な行動パターンや動作を分析・特定するための異なるセキュリティ技術です。

これらは共通の目的を持つ場合もありますが、依然として大きく異なります:

  • Linux IDSは、Linuxをオペレーティングシステムとするシステムに焦点を当て、これらへの不正アクセスを検知します。
  • 一方、Linux EDRは、同様にLinuxをOSとするシステムを対象とし、システムエンドポイントにおける不審な動作を監視・検知することで潜在的な脅威を探知します。
  • CDRはクラウド分野において定義され、あらゆる種類の脅威の探索・検知を担当し、システムが被る可能性のある影響を最小限に抑える役割を担います。

本記事では、Linux IDSとクラウド検知・対応(CDR)の違い、それぞれの意味、比較点を解説します。また、Linuxエンドポイント検知・対応(Linux EDR)などの関連手法がどのように位置付けられるかについても考察します。

検知と対応セキュリティ

大まかに申し上げますと、Linux IDS(侵入検知システム)とCDR(検知と対応)は、いずれも検知と対応セキュリティの範疇に属します。

検知と対応セキュリティとは、サイバーセキュリティの一分野であり、脅威の検知と対応に焦点を当てたものです。通常、検知と対応セキュリティは、ログファイルやオペレーティングシステムのメトリクスなど、様々なデータソースを監視し、侵害または侵害の試みの兆候を探します。その後、リスクの性質を判断し、それに応じて対応します。

検知と対応セキュリティは、サイバーセキュリティ戦略全体を支える唯一の運用形態ではありません。企業は通常、脅威インテリジェンスやセキュリティ態勢管理といったリソースも活用し、攻撃リスク全体を低減する必要があります。しかし、アクティブな脅威やリスクを検知・軽減する手段として、検知と対応は現代のサイバーセキュリティにおける基盤的要素の一つです。

Linux向けIDS(侵入検知・対応システム)とは?

検知と対応のセキュリティ対策の一例として、Linux向け侵入検知・対応システムが挙げられます。

Linux向けIDSとは、ネットワーク接続やsyslog(汎用的なLinuxシステムイベントログ)、auth.log(Linux上の認証活動を記録するログ)など、Linux環境が生成する様々なデータソースを活用し、リスクを検知・対応する仕組みです。

Linux向けIDSの実装方法は複数存在します。例えば、各Linuxシステム上でソフトウェアエージェントを実行して環境を監視するエージェントベースのアプローチや、ローカルでのエージェント実行を必要とせずネットワーク経由で必要なデータを収集するエージェントレスアーキテクチャの展開などが挙げられます。いずれの方法においても、Linux IDSの主な目的は異常な活動を検知し、それがセキュリティリスクに関連しているかどうかを判断し、関連している場合には効果的な対策を講じることです。

Linux向けIDSの動作例として、Linuxシステム内で一連の新規プロセスが突然出現するシナリオを考えてみましょう。IDSツールがシステムを継続的に監視している場合、これらの新規プロセスは異常として目立つことになります。この情報だけでは必ずしも侵害や侵害の試みが発生したとは限りませんが、IDSツールは、プロセス出現直前にauth.logに記録された認証失敗の異常な増加など、他の異常な活動とこの事象を関連付けることで、システムへの侵入が発生したかどうかについて情報に基づいた評価を行います。侵入が確認された場合、IDSソフトウェアはセキュリティ管理者に通知し、対応が可能となります。

CDR(クラウド検知と対応)とは?

クラウド検知と対応(CDR)とは、クラウド環境からのデータを活用してセキュリティ脅威を検知し、対応することを指します。

CDRを駆動するデータソースは、ワークロードを運用するクラウドプラットフォームや、ワークロードが依存する具体的なクラウドサービスの種類によって異なります。例えば、ロードバランサーを設定している場合、そのログを分析することでネットワークアクセス要求やパターンを追跡できますが、すべてのクラウド環境にロードバランサーが含まれているわけではありません。一部のクラウドプロバイダーは、アカウント活動を記録する監査ツール(AWS CloudTrail や Cloudwatch など)も提供しており、Linux の auth.log と一部類似した情報を提供しますが、提供する監査および認証データの正確な性質は異なる場合があります。

とはいえ、データソースは環境によって異なる可能性がありますが、すべての CDR ツールには共通の特徴があります。それは、クラウド環境に影響を与える可能性のあるセキュリティ脅威を検知するために、様々な種類のデータを分析する点です。

Linux IDS とCDRの比較

多くの場合(ただし、決して全てではありません)、クラウドワークロードをホストするサーバーを駆動するオペレーティングシステムは、何らかの形のLinuxです。そのため、Linux IDSを駆動するデータソースや分析プロセスの種類は、クラウド検出と対応(CDR)を支えるものと同一となる場合があります。

例えば、Amazon EC2のようなサービスを利用してVMインスタンス上にクラウドワークロードを展開する場合、各VMにインストールされたオペレーティングシステムのログを監視することで、脅威検知およびリスク対応のためのデータソースの一つとすることができます。また、各システム上で実行されているプロセスを監視することも可能です。

とはいえ、従来のホスト上のLinux IDSとクラウド検知・対応(CDR)の間には重要な違いがあります:

  • 可視性のレベル:クラウド環境では、Linuxを実行するVMが存在する場合でも、基盤となる物理サーバー(同様にLinuxを実行している場合も含む)へのアクセス権は通常ありません。基盤インフラからのデータを閲覧し、セキュリティ監視目的に利用できるのはクラウドプロバイダーのみです。オンプレミス環境では、スタックの全レイヤーにおけるセキュリティ監視データに完全なアクセス権を有します。
  • 仮想インフラストラクチャ:クラウド環境では、Linuxベースのワークロードは仮想インフラストラクチャを利用することが多く、その結果、IDS目的の監視データの種類が異なります。例えば、Amazon EC2インスタンスのネットワークトラフィックを監視する場合、通常は仮想ネットワークインターフェースの一種であるElastic Network Adapter(ENA)を設定し、それを介したトラフィックを監視する必要があります。オンプレミスのLinuxホストでは、物理ネットワークインターフェースを使用してトラフィックを監視できます。
  • 集中型クラウドロギング:ほとんどのクラウド環境には、CloudWatchやCloudTrailのような集中型ロギングツールが含まれており、複数のホストやその他のリソースからデータを収集します。その結果、CDR(集中型データ記録)では、集中化されたソースを使用してデータを分析することが容易になります。個々のLinuxホストでは、データは通常デフォルトでは集約されません(ただし、必要に応じて、集中型syslogサーバーなどの集約ソリューションを設定することは可能です)。
  • サービスの種類の違い:一部のクラウドサービスでは、ユーザーがアクセス可能なサーバーが存在しません。例えば、クラウド上のサーバーレス関数を利用する場合、ホストOSからログやメトリクスを収集する手段がありません。したがって、CDR目的に使用するデータは、クラウドプロバイダーがサーバーレス関数向けに公開するメトリクスやログに限定されます。

結論として:クラウド環境がLinuxベースであっても、クラウド上のセキュリティリスクを検知するために使用するデータソースや分析プロセスは、オンプレミスのLinux環境で適用されるものとは大きく異なる可能性が高いです。

エンドポイント検知と対応(EDR)についてはいかがでしょうか。

Linux IDSと密接に関連する分野として、エンドポイント検知と対応(EDR)がございます。EDRとは、セキュリティ分析を活用してエンドポイント(ネットワークに接続された物理的または仮想的なデバイス全般を指します)を保護する手法でございます。

エンドポイントにはLinuxベースのデバイスも含まれる可能性があるため(ただしこれに限定されません)、Linux IDSの運用手法は場合によってはEDRの手法と類似しています。つまり、Linuxサーバー向けのEDRは、Linuxサーバー向けのIDSと同様のデータソースを分析し、同様の脅威を探知することに依存する可能性が高いと言えます。

とはいえ、Linux EDRとLinux IDSには重要な相違点がいくつか存在します:

  • IDSは主にアクティブな侵入の検知に焦点を当てているのに対し、EDRは攻撃リスクを低減するためのエンドポイント強化も含む、より広範な分野です。
  • EDRはモバイルデバイス、PC、さらにはプリンターなどあらゆるタイプのエンドポイントに拡張可能ですが、IDSはサーバーなどの従来型ホストでより頻繁に利用されます。
  • 定義によっては、IDSはネットワーク活動の分析による脅威検知に重点を置くのに対し、EDRはログやメトリクスなどの他のデータソースを活用します。とはいえ、この解釈には主観的な側面があり、EDR目的でネットワーク関連以外のデータソースを使用できないという決まりも、IDSにネットワークデータのみを使用しなければならないという決まりも存在しません。

同様の差異が、Linux EDRとCDRの区別にも役立ちます。EDRでは個々のLinuxホストの保護に焦点を当てますが、CDRは物理・仮想Linuxサーバーだけでなく、クラウド上のあらゆるリソースに及ぶより広範な実践です。

結論

Linux IDS、EDR、CDRはいずれも、現代の環境を保護する上で重要な役割を果たします。しかし、それぞれのソリューションは異なる方法で機能し、異なる目的を果たします。そのため、ほとんどの組織では、脅威検知および対応のために、これら3種類のセキュリティ監視および防御ソリューションすべてが必要となります。