セキュリティもオープンソースで!――データセンターでもオープンソースの導入が進行中 2ページ

侵入検知システムによる制御

 侵入検知システム(IDS)は、悪意を持つハッカーやクラッカーによる攻撃を検知するだけではない。フォレンジック(法的証拠性の確保)や、ネットワークの不適切な使用、間違った構成を発見するのに役立つほか、ネットワークのパフォーマンス・プロファイリングを行う際にも利用できる。

 IDSがこうした機能を発揮できるようにするためには、ネットワーク全体を監視するセンサーを経由してイベントを収集・蓄積する仕組みがいる。また、それらのイベントを検索/照合/分析する機能や、IDSイベントの圧縮/展開、イベントに応じた緊急アラートの生成、それらすべてのコンポーネントの管理、そして長期トレンドのリポート作成といった機能も欠かせない。さらに、高度なシステムの場合には、IDSデータがイベント全体を見渡すことになるため、相関エンジンを利用する必要もある。

 オープンソースの「Snort」エンジンをベースとする商用IDSおよび侵入防御システム(IPS)を販売しているソースファイアの社員を主体としたSnort開発チームでは、パワフルなIDSエンジンを使って、上の構想(の前半2つ)を実現しようとしている。

 SpamAssassinと同様、Snortだけではほとんど何の役にも立たないが、SnortをLinuxやBSD(バークレー版UNIX)といったオペレーティング・システムにレイヤードすれば、トラフィックを検査したり、イベントを生成するIDSセンサーを簡単に構築したりといったことを行うことができるのだ。とはいえ、 Snortやイベントを管理するインフラがない場合には、安易に手を出さないほうが無難だろう。

 データセンターのマネジャーが、自分の手でフルにコントロールできる100パーセント・オープンソースのIDSを構築したいと望むのであれば、Linux上で稼働するSnortベースのIDSセンサーからスタートし、その後、さまざまなオープンソース・コンポーネントを付け加えてセンサーをきちんと管理できるようにする、というのがいちばんいい方法だ。

 センサーを管理するには、基本的に自前のスクリプトかアプリケーションが必要だが、「Oinkmaster」や「IDS Policy Manager」といった、Snortのルールセットを定期的に更新できるツール群を使うという手もある。

 イベントのログをとるには、一般的に、「MySQL」データベースとSnortのアドオンである「Barnyard」を利用すればよい。ログさえとっておけば、「Analysis Console for Intrusion Databases」や「Basic Analysis and Security Engine」などを使って、トレンドを分析したり、フォレンジックに備えたりすることができる。

 エンタープライズIDS構築で最も困難だとされるのは、システムを一から構築することではなく、センサーのデータを有益な情報に変えていくことである。したがって、オープンソースIDSセンサーを利用するだけでなく、同時に商用IDSの“スーパーコンソール”でイベントやアラート、アーカイビング、フォレンジックに対応することができれば、それがより良いソリューションだということになる。

 しかも、このアプローチをとれば、市場から撤退する可能性のある商用ベンダーにIDSセンサー・ネットワークを依存することになるリスクを最小限に抑えることができる。実際、NetworkWorldが2003年の製品テストで取り上げたIDSおよびIPSベンダーの40パーセント(2002年のそれで見ると50パーセント)がすでに市場から消えてしまっていることを考えれば、決してリスクを過小評価すべきではない。

 アークサイト、ネットIQ、ネットワーク・インテリジェンス、テナブル・ネットワーク・セキュリティなど、各社のセキュリティ情報管理製品は、Snort ベースのセンサーと完璧に連携することができる。また、無償提供されているソースファイアの「3D Defense Center」は、自社のパッケージと同じくらい簡単にオープンソースのSnortからのイベントを受け取ることができる。

セキュリティ4分野における優れたオープンソース製品

◆メール・セキュリティ・ゲートウェイ

「SpamAssassin」(http://spamassassin.apache.org/)
「DSPAM」(http://dspam.nuclearelephant.com/)
「Bogofilter」(http://bogofilter.sourceforge.net/)
「MailWasher Server」(http://oss.firetrust.com/)
「Maia Mailguard」(http://www.maiamailguard.com/)
「Clam AntiVirus」(http://www.clamav.org/)

◆侵入検知

「Snort」(http://www.snort.org)
「IDS Policy Manager」(http://www.activeworx.org)

◆脆弱性スキャニング

「ACID」(http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html)
「BASE」(http://base.secureideas.net)

◆サイト・ツー・サイトSSL VPN

「Nessus」(http://www.nessus.org)
「OpenVPN」(http://openvpn.ne/)