セキュリティもオープンソースで!――データセンターでもオープンソースの導入が進行中 2ページ
侵入検知システムによる制御
侵入検知システム(IDS)は、悪意を持つハッカーやクラッカーによる攻撃を検知するだけではない。フォレンジック(法的証拠性の確保)や、ネットワークの不適切な使用、間違った構成を発見するのに役立つほか、ネットワークのパフォーマンス・プロファイリングを行う際にも利用できる。
IDSがこうした機能を発揮できるようにするためには、ネットワーク全体を監視するセンサーを経由してイベントを収集・蓄積する仕組みがいる。また、それらのイベントを検索/照合/分析する機能や、IDSイベントの圧縮/展開、イベントに応じた緊急アラートの生成、それらすべてのコンポーネントの管理、そして長期トレンドのリポート作成といった機能も欠かせない。さらに、高度なシステムの場合には、IDSデータがイベント全体を見渡すことになるため、相関エンジンを利用する必要もある。
オープンソースの「Snort」エンジンをベースとする商用IDSおよび侵入防御システム(IPS)を販売しているソースファイアの社員を主体としたSnort開発チームでは、パワフルなIDSエンジンを使って、上の構想(の前半2つ)を実現しようとしている。
SpamAssassinと同様、Snortだけではほとんど何の役にも立たないが、SnortをLinuxやBSD(バークレー版UNIX)といったオペレーティング・システムにレイヤードすれば、トラフィックを検査したり、イベントを生成するIDSセンサーを簡単に構築したりといったことを行うことができるのだ。とはいえ、 Snortやイベントを管理するインフラがない場合には、安易に手を出さないほうが無難だろう。
データセンターのマネジャーが、自分の手でフルにコントロールできる100パーセント・オープンソースのIDSを構築したいと望むのであれば、Linux上で稼働するSnortベースのIDSセンサーからスタートし、その後、さまざまなオープンソース・コンポーネントを付け加えてセンサーをきちんと管理できるようにする、というのがいちばんいい方法だ。
センサーを管理するには、基本的に自前のスクリプトかアプリケーションが必要だが、「Oinkmaster」や「IDS Policy Manager」といった、Snortのルールセットを定期的に更新できるツール群を使うという手もある。
イベントのログをとるには、一般的に、「MySQL」データベースとSnortのアドオンである「Barnyard」を利用すればよい。ログさえとっておけば、「Analysis Console for Intrusion Databases」や「Basic Analysis and Security Engine」などを使って、トレンドを分析したり、フォレンジックに備えたりすることができる。
エンタープライズIDS構築で最も困難だとされるのは、システムを一から構築することではなく、センサーのデータを有益な情報に変えていくことである。したがって、オープンソースIDSセンサーを利用するだけでなく、同時に商用IDSの“スーパーコンソール”でイベントやアラート、アーカイビング、フォレンジックに対応することができれば、それがより良いソリューションだということになる。
しかも、このアプローチをとれば、市場から撤退する可能性のある商用ベンダーにIDSセンサー・ネットワークを依存することになるリスクを最小限に抑えることができる。実際、NetworkWorldが2003年の製品テストで取り上げたIDSおよびIPSベンダーの40パーセント(2002年のそれで見ると50パーセント)がすでに市場から消えてしまっていることを考えれば、決してリスクを過小評価すべきではない。
アークサイト、ネットIQ、ネットワーク・インテリジェンス、テナブル・ネットワーク・セキュリティなど、各社のセキュリティ情報管理製品は、Snort ベースのセンサーと完璧に連携することができる。また、無償提供されているソースファイアの「3D Defense Center」は、自社のパッケージと同じくらい簡単にオープンソースのSnortからのイベントを受け取ることができる。
セキュリティ4分野における優れたオープンソース製品 |
---|
◆メール・セキュリティ・ゲートウェイ 「SpamAssassin」(http://spamassassin.apache.org/)「DSPAM」(http://dspam.nuclearelephant.com/) 「Bogofilter」(http://bogofilter.sourceforge.net/) 「MailWasher Server」(http://oss.firetrust.com/) 「Maia Mailguard」(http://www.maiamailguard.com/) 「Clam AntiVirus」(http://www.clamav.org/) ◆侵入検知 「Snort」(http://www.snort.org)「IDS Policy Manager」(http://www.activeworx.org) ◆脆弱性スキャニング 「ACID」(http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html)「BASE」(http://base.secureideas.net) ◆サイト・ツー・サイトSSL VPN 「Nessus」(http://www.nessus.org)「OpenVPN」(http://openvpn.ne/) |