【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
セキュリティもオープンソースで!
データセンターでもオープンソースの導入が進行中
(2007年06月25日)
脆弱性分析用カスタム・コード
ネットワークにどのような機器が接続され、どのようなサービスが稼働しているかを知ることは、セキュリティの要諦だ。しかしながら、アプリケーション・プログラマーやシステム・オペレーターは、システムをオンライン化し、更新/パッチ/再構成の作業を行う際に、常にセキュリティ・チームと緊密に連携しているわけではない。そういう状況で役に立つのが、脆弱性分析ツールである。
オープンソースのサービス・ディスカバリ/脆弱性管理ツールとして最も有名なのは、テナブル・ネットワーク・セキュリティの「Nessus」であろう。この製品は、データセンターにおけるオープンソースの地位を高めたことでも知られる。
Nessusは当初、完全なオープンソース・ツールとして登場した(テナブルを単独スポンサーとするNessusプロジェクトによって開発)。しかしながら、テナブルは2005年10月、Nessusバージョン3をリリースすると同時に、GPL(The GNU General Public License:GNU一般公衆利用許諾契約書)を放棄し、オープンソースからの離脱を図った(ただし、Nessusバージョン2は、そのままオープンソース・プロジェクトとして継続している)。
オープンソース・コミュニティからの反発はあったが、機能強化を図りユーザー・ベースを広げるために、テナブルはあえてこの挙に打って出たのである(囲み記事『無償? それとも有償?』参照)。
収集した情報をどのように利用するかにもよるが、NessusはSpamAssassinやSnortほど多くの追加ソフトウェアを必要としない。クライアント/サーバ・アーキテクチャといくつかのGUIインタフェースがあれば、それで十分なのだ。
一般に、脆弱性分析スキャナやネットワーク・ディスカバリ・ツールなどのベンダーは、スキャン結果を管理するツールやパッチ管理システムにリンクするツール、ライフサイクル全般にわたって脆弱性を処理するツールなど、さまざまな製品を提供しているが、Nessus開発チームは非常に柔軟に構成することのできるエンジンの開発に的を絞っている。
Nessusと、テナブルが独自に開発している「Security Center」とを組み合わせれば、商用製品と比べても遜色のないシステムを構築することができる。Security Centerは、Nessusのスキャン・データをリポーティング機能や資産管理、脆弱性管理機能で利用するための集中管理ツールであり、IDSエンジン・イベントを脆弱性と関連づけ、セキュリティ管理者に有益な情報を提供する相関エンジンとしても機能する。なお、市販されているセキュリティ情報管理製品の多くが、Nessusのスキャン・データを取り込んだり、関連づけたりする機能を備えている。
Nessusはアクティブな脆弱性スキャナであり、システムを精査して、サービスやオペレーティング・システム、脆弱性を発見することになるが、アクティブ・スキャニングの場合、その過程で、システムがクラッシュする、あるいは処理速度の低下を招くといった問題を起こすことがある。そのため、多くの組織がアクティブ・スキャニングの導入には否定的だ。
こうしたことから、一般のデータセンターでは、主にパッシブ・スキャニングが使われることになる。
では、そちらのほうには、オープンソースはどのように取り組んでいるのだろうか。現在のところ、オープンソース・コミュニティで開発されているのは、オペレーティング・システム・フィンガープリントなど、ある特定のタイプに限定されたパッシブ・スキャニング製品だけである。そのため、ネットワーク管理者が、より包括的なアプローチを求めるのであれば、ソースファイア(Realtime Network Awareness)やテナブル(Passive Vulnerability Scanner)が販売している商用スキャナを導入するのがよいだろう。
「無償? それとも有償?」
――オープンソース・セキュリティ製品の隠された使用料
一般的なオープンソース・セキュリティ製品、すなわちウイルス・スキャナ、スパム・フィルタ、侵入検知/防御(IDS/IPS)エンジン、脆弱性管理ツールなどの場合、有効性を維持し、最新の脅威に対抗するために、搭載されるルール・データベースを常にアップデートし続ける必要がある。
ルールのアップデートに対する呼び方は、製品によってまちまちだが、いずれにしろソフトウェアのアップデートとは、方法や内容がまったく異なる。なかでも、いちばんの違いは、アップデートの頻度だろう(もちろん、ルールのアップデートのほうが圧倒的に多い。特にClamAVは、最も頻繁にアップデートしている)。にもかかわらず、ClamAVやSpamAssassinのルール・アップデートは、少なくとも現時点では、無償である。
こうしたアップデートには、非常に多くの時間を要するため、企業ネットワーク管理者の中には、いずれアップデートのテンポが遅くなるか、場合によっては止まってしまうのではないかとの恐れを抱き、その不安からClamAVなどを敬遠する向きもある。
一方、ソースファイア(Snort IDSを保守)とテナブル・ネットワーク・セキュリティ(Nessus脆弱性管理スキャナを保守)は、商用とフリーウェアの特性をミックスしたやり方でルールを提供している。「こうしたアプリケーションの価値を高めるためには、頻繁なルール・アップデートを行うしかない」との認識から、両社は最新のアップデートを妥当なサブスクリプション料金で提供しているのである。
なお、このアップデートは、後日、無償でリリースされるので、入手するのが遅れても構わないのであれば、それを待てば、料金が発生することはない。
サブスクリプション方式は、多少料金を払ってでもオープンソースのセキュリティ製品を最新のアップデートで利用したい、という企業ユーザーの声にこたえるかたちで採用されたものだ。ちなみに、これによって得られる収益金は、ルール・データベースを保守する人たちの人件費に当てられることになっている。あまり報われない仕事にそれなりの報酬を支払うことも、一貫性と継続性を保証するためには大事なことなのである。
