セキュリティもオープンソースで！

データセンターでもオープンソースの導入が進行中

（2007年06月25日）

侵入検知システムによる制御

　侵入検知システム（IDS）は、悪意を持つハッカーやクラッカーによる攻撃を検知するだけではない。フォレンジック（法的証拠性の確保）や、ネットワークの不適切な使用、間違った構成を発見するのに役立つほか、ネットワークのパフォーマンス・プロファイリングを行う際にも利用できる。

　IDSがこうした機能を発揮できるようにするためには、ネットワーク全体を監視するセンサーを経由してイベントを収集・蓄積する仕組みがいる。また、それらのイベントを検索／照合／分析する機能や、IDSイベントの圧縮／展開、イベントに応じた緊急アラートの生成、それらすべてのコンポーネントの管理、そして長期トレンドのリポート作成といった機能も欠かせない。さらに、高度なシステムの場合には、IDSデータがイベント全体を見渡すことになるため、相関エンジンを利用する必要もある。

　オープンソースの「Snort」エンジンをベースとする商用IDSおよび侵入防御システム（IPS）を販売しているソースファイアの社員を主体としたSnort開発チームでは、パワフルなIDSエンジンを使って、上の構想（の前半2つ）を実現しようとしている。

　SpamAssassinと同様、Snortだけではほとんど何の役にも立たないが、SnortをLinuxやBSD（バークレー版UNIX）といったオペレーティング・システムにレイヤードすれば、トラフィックを検査したり、イベントを生成するIDSセンサーを簡単に構築したりといったことを行うことができるのだ。とはいえ、Snortやイベントを管理するインフラがない場合には、安易に手を出さないほうが無難だろう。

　データセンターのマネジャーが、自分の手でフルにコントロールできる100パーセント・オープンソースのIDSを構築したいと望むのであれば、Linux上で稼働するSnortベースのIDSセンサーからスタートし、その後、さまざまなオープンソース・コンポーネントを付け加えてセンサーをきちんと管理できるようにする、というのがいちばんいい方法だ。

　センサーを管理するには、基本的に自前のスクリプトかアプリケーションが必要だが、「Oinkmaster」や「IDS Policy Manager」といった、Snortのルールセットを定期的に更新できるツール群を使うという手もある。

　イベントのログをとるには、一般的に、「MySQL」データベースとSnortのアドオンである「Barnyard」を利用すればよい。ログさえとっておけば、「Analysis Console for Intrusion Databases」や「Basic Analysis and Security Engine」などを使って、トレンドを分析したり、フォレンジックに備えたりすることができる。

　エンタープライズIDS構築で最も困難だとされるのは、システムを一から構築することではなく、センサーのデータを有益な情報に変えていくことである。したがって、オープンソースIDSセンサーを利用するだけでなく、同時に商用IDSの“スーパーコンソール”でイベントやアラート、アーカイビング、フォレンジックに対応することができれば、それがより良いソリューションだということになる。

　しかも、このアプローチをとれば、市場から撤退する可能性のある商用ベンダーにIDSセンサー・ネットワークを依存することになるリスクを最小限に抑えることができる。実際、NetworkWorldが2003年の製品テストで取り上げたIDSおよびIPSベンダーの40パーセント（2002年のそれで見ると50パーセント）がすでに市場から消えてしまっていることを考えれば、決してリスクを過小評価すべきではない。

　アークサイト、ネットIQ、ネットワーク・インテリジェンス、テナブル・ネットワーク・セキュリティなど、各社のセキュリティ情報管理製品は、Snortベースのセンサーと完璧に連携することができる。また、無償提供されているソースファイアの「3D Defense Center」は、自社のパッケージと同じくらい簡単にオープンソースのSnortからのイベントを受け取ることができる。