オープンソースのIDS(侵入検知システム)として有名な「Snort」。このSnortをベースにしたソフトウエアを提供しているのが米ソースファイアだ。同社のビジネスモデルと今後の製品計画を,インターナショナル・セールス&ビジネス・ディベロップメントのジョン・クズパク副社長に聞いた。
ソースファイアのビジネスモデルは。
 Snortのブタのマスコットを持ってポーズを取る米ソースファイアのジョン・クズパク副社長 [画像のクリックで拡大表示] |
ここでは攻撃を防御するための方法が議論されたり,Snortに対するフィードバックがなされる。我々はこうした情報を製品開発に使うことができる。これが強みになっている。
有償の製品ではどういった機能を提供しているのか。
我々は企業ネットワークに内在するすべての脅威を取り除く方向で機能を開発している。具体的には攻撃前,攻撃中,攻撃後に必要な対策を施すことを考えている。まず,管理者は攻撃が実行される前に,企業ネットワークにどのようなコンピュータ/機器がつながっているのか,それらに適切なパッチが適用されているのかを知らなければならない。しかも,なるべくリアルタイムにだ。
また攻撃を受けている段階では,その攻撃が企業システムにとって,問題のあるものなのか,あるいは無視していいものなのかを知る必要があるだろう。さらに,企業のセキュリティ担当者に対して,現在進行中の攻撃の中でどれが最も危険なのかを知らせる必要がある。このとき,検知漏れや誤検知はなるべく発生させてはいけない。
攻撃が発生した後には,どこで攻撃が発生し,どんな被害が出たのか,どんなアクションを取るべきなのかがすぐに分からなければならない。こうした考えに沿った機能を提供している。
具体的にはどんな機能か。
まず,攻撃前の情報収集では,企業ネットワークにつながるコンピュータ/機器を検知するために,「Real-Time Network Awareness」(RNA)という機能を提供している。これはネットワークに流れるパケットから特有の特徴を見つけ出し,ネットワーク上にあるコンピュータ/機器を割り出すとともに,どのようなサービスが動作しているのかをレポートするものだ。ぜい弱性スキャナー「NESSUS」の技術を利用し,パッチが適用されていないコンピュータ/機器の情報を集めることもできる。パッチが当てられていない機器が見つかれば,パッチ適用システムと連携してパッチを適用するといった機能を持っている。
攻撃中に対しては,IPS(侵入防止システム)/IDS機能を提供する。一般にIDSで使われるシグネチャによる検知だけではなく,ルール・ベースで検知ができる。シグネチャ・ベースだと,同じぜい弱性を攻撃するコードであるにもかかわらず,少しでも改変されると検知できないという問題がある。我々の製品では特定のぜい弱性への攻撃を守るためのルールを記述できるので,改変された攻撃コードでもブロックできる。
さらに,管理者に情報を伝える場合に,緊急度のプライオリティを付ける。例えば,最新パッチを適用済みのIIS(Internet Information Server/Services)に対して,既知の攻撃が行われた場合,重要度を若干低くしてレポートする。攻撃後は,IDSなどで収集した情報によって,どこが攻撃を受け,どのような被害が出たかを調べられる。
今後の製品計画は。
詳しくは言えないが,近い将来に三つの機能の提供を予定している。一つはユーザーごとの挙動変化をリアルタイムで観察できる機能,次にIPSの機能をネットワークごとに自動チューニングする機能,最後に10Gビット/秒に対応した機能だ。年内に発表する計画を立てている。特に2番目の自動チューニング機能は,IPSの専門家がいない企業でも使えるもので,IPSの裾野が大きく広がる契機になるものだ。非常にインパクトのあるものだと考えている。
最近は,パッチ公開前のぜい弱性を狙ったゼロデイ攻撃が増えている。守ることはできるか。
既にインターネットなどで公開されている攻撃コードがある場合は,守ることは可能だ。攻撃コードが見つかると,我々のぜい弱性対策チームだけではなく,Snortのコミュニティでも対策が議論され,防御のためのルールが作られる。我々はこうしたコミュニティを持つため,他社よりも早く防御方法を確立できる。先にも述べたように,我々の製品は攻撃コードが変化しても特定のぜい弱性への攻撃であれば守れる。
