オープンソースのIDS(侵入検知システム)/IPS(侵入防止システム)として知られる「Snort」。このソフトウエアを開発したのが,米ソースファイアのマーティン・ロッシCTO(最高技術責任者)だ。Snortの将来像を聞いた。
「Snort」が生まれた経緯は。
 |
| 米ソースファイア CTO(最高技術責任者) マーティン・ロッシ氏 [画像のクリックで拡大表示] |
Snortの今後の機能拡張の方向性は。
それを述べる前に,現在のIPSの課題を考えてみたい。今のIPSは非常に静的な防御しかできない。ルールは固定化されており,長い間同じルールが使われ続ける。ところが,ネットワークの状況は時間とともに変わる。例えば,この瞬間,社内に新しいルーターが導入されたかもしれないし,新しいパソコンが接続されたかもしれない。
IPSを導入した当初は最適な設定だったかもしれないが,時間が経つうちに穴ができてくる可能性がある。もっとも管理者に十分な知識やスキルがなければ,当初から最適な設定ではない可能性もある。実際,このケースは多い。
そこで,自己チューニングが可能な機能をSnortのエンジンに組み込む。具体的には,ネットワークに流れるパケットから,LANの構成を推測し最適な設定に自動調整するというものだ。
そのエンジンもこれまで同様,無償で公開するのか。
その通りだ。エンジン部分は常に無償でオープンソースとして提供している。Snortはコミュニティの存在によって価値あるものになっている。今後もこの方針を変えるつもりはない。有償にするのは管理機能やスケーラビリティを上げる企業向けの機能だ。
ボットやスパイウエア,特定の企業を狙った標的型(スピア型)攻撃の脅威が顕在化している。こうした問題への対処は。
そうした攻撃は,基本的に情報を外部に盗み出すために,内部から外部への通信が発生する。これを監視することで,ある程度,ブロックすることができる。例えば,IRC(インターネット・リレー・チャット)。ボットは外部との通信のために,IRCプロトコルを使う。これを止めればいい。
また,DNS(ドメイン名システム)のクエリーに情報を載せるという手口が出てきているようだが,この場合も社内のDNSではなく,社外のDNSに問い合わせにいく挙動を発見すれば遮断できる。
ただ,HTTPなど一般に使われるプロトコルに情報をくるまれると,検知するのが難しい。現在そうした未知の攻撃に対応する技術を研究しており,来年には提供できそうだ。
9月にオープンソースのウイルス対策ソフトウエアをClamAVを買収した。その意図は。
ClamAVには最先端の技術が使われている。どの商用ソフトと比較しても,技術面で劣るところはない。ところが,管理・運用やスケーラビリティという面では商用ソフトに劣る。ここを強化するツールを,我々が有償で提供する。Snortのビジネスと同じようなスキームが成り立つ。
SnortとClamAVを融合させた製品を考えているのか。
現時点ではそうした方向性は考えていない。SnortとClamAVの開発は別々の組織でやっていく。ただし,ソフトウエアのぜい弱性などを評価する研究部門などは一緒にすると,より大きな価値を生むかもしれない。この点についてはこれから,考えていく。
