みなさんはセキュリティに関する情報をどこから入手しているだろうか。筆者はよく,セキュリティ情報の情報源について取材先と話すことがある。そのようなときには,有用な情報源の一つとして「SANS Institute」を挙げている。IT Pro読者の中にはご存じの方は多いだろうが,相手がセキュリティにあまり詳しくない場合には「聞いたことない」と言われることが少なくない。

 筆者としてはSANS Institute(以下,SANS)を広く知ってもらって,できるだけ多くの人にSANSの情報を活用してほしいと思っている。IT Proでは,SANSの情報を基にしたニュース記事を今までに何本も掲載している。しかしながら,SANS自体を説明する機会はなかった。そこで本稿では,SANSについて簡単に紹介したい。今までSANSを知らなかった方は,セキュリティ情報の入手先の一つとしてぜひ活用していただきたい。

 SANSでは,毎日更新されるブログや週刊のメール・マガジンなどで最新のセキュリティ情報を提供している。情報は基本的にすべて英語である。だが,一部のコンテンツは日本語化されている。後述する「TOP20 リスト」については,NRIセキュアテクノロジーズとSANSが日本語版を公開している。また,両者は「SANS JAPAN プロジェクト」という日本向けサイトを2005年から立ち上げている。今後は,SANSが公開する他のコンテンツについても日本語化されることが期待される。

“本業”はセキュリティ・トレーニング

 SANSとは「SysAdmin,Audit,Network,Security」の略。米国で1989年に設立された情報セキュリティ専門の民間組織である。組織の目的は,政府機関や企業,教育/研究機関を対象に,情報セキュリティの調査/研究/教育を行うこと。同組織の主なメンバーは,政府機関や企業,教育/研究機関などに所属するセキュリティの専門家である。

 同組織のトップ・ページを見てもわかるように,SANSのメインの活動は,システム管理者やセキュリティ技術者,CIOなどを対象したトレーニング(セミナー)である。主に全米各地で実施されているが,国内でも2003年からNRIセキュアテクノロジーズと共同でトレーニングを開催している関連記事)。オンラインでのトレーニング・メニューも用意している。

 また,セキュリティに関する技術や知識に優れていることをSANSが認定する「GIAC(Global Information Assurance Certification)」と呼ばれるプログラムを1999年から実施している。

 とはいえ,トレーニングや認定試験だけを提供している組織ではない。無償で利用できるセキュリティ・コンテンツを多数用意している。これらを利用しないのはもったいない。

リアルタイムに攻撃やウイルスを警告

 まずお勧めしたいのが,SANSのプロジェクトの一つ「Internet Storm Center(ISC)」が提供するセキュリティ情報である。ISCとは,インターネットの各所に設置したセンサーからの情報を基に,大規模な攻撃や悪質なプログラム(ウイルス/ワーム)の流行の予兆を検出して警告を発するプロジェクト。インターネットの早期警戒システムといえる。現在設置されているセンサーは50万台(IPアドレス)以上。50カ国以上に置かれているという。

 センサーからの情報は集計されて,ISCのサイト上でグラフとして表示される。例えば「World Map」では,大陸ごとのトラフィックが円グラフとして表示される。このグラフを見れば,どのポート番号あてのトラフィックが多いのか一目瞭然である。もし,ある特定ポートへのトラフィックが急増すれば,そのポートを狙う悪質なプログラムが出現している可能性がある。

 悪質なプログラムの流行などが実際に確認されれば,ISCでは「INFOCon」の色を変えてユーザーに注意を呼びかける。INFOConとは,インターネットの“危険度”を色で表した指標。平常時は「Green」だが,悪質なプログラムが出現するなどして危険度が増すと,「Yellow」や「Orange」「Red」と順に引き上げて注意を促す。例えば,「Blaster」が出現した2003年8月11日から15日までは,「Yellow(新しい脅威が出現。局所的に被害が出る可能性がある)」に引き上げられた。最近では,「Zotob」が出現した2005年8月13日から16日まで「Yellow」にされていた。

 ISCの活動は基本的にボランティア・ベースである。協力者は,自分のネットワークにセンサーを無償で設置する。収集データの解析やISCサイトの運営などにあたる「Handler」もボランティアである。そのHandlerによる“日誌”が「Handler's Diary」である。「特定ポートへのトラフィックの急増」などが発生した場合にはHandler's Diaryで必ず解説されるので,ネットの異常の兆候をつかむのに役立つ。また,主要なソフトウエアのセキュリティ・ホール情報なども解説するので,システム管理者や一般ユーザーにも有用だろう。

ニュース・レターで週ごとの情報を

 リアルタイムあるいはデイリーの情報であるWorld MapやINFOCon,Handler's Diary以外にも有用な情報はある。「毎日Webをチェックしている時間はない」という方には,週一回送られてくるニュース・レターがお勧めだ。なかでも筆者は,一週間のセキュリティ・ホール情報をまとめた「@RISK: The Consensus Security Alert」,セキュリティ関連のニュース記事をまとめた「SANS NewsBites」の購読をお勧めしたい。

 前者の「@RISK」では,広く利用されているソフトウエアを対象に,ここ1週間に見つかったセキュリティ・ホールの概要やリンクを簡潔にまとめているので,パッチの適用漏れがないかどうかをチェックするのに便利である。

 後者の「SANS NewsBites」では,ニュース・サイトなどで公表された重要なセキュリティ関連ニュースの概要とリンクをまとめている。NewsBitesの編集者によるコメントもニュースによっては併記されている。NewsBitesの編集者もボランティアである。編集者には“ビッグ・ネーム”が並ぶ。代表的なIDSの一つ「NFR(Net Fright Recorder)」の開発者であるMarcus Ranum氏や,米ホワイトハウスの元サイバー・セキュリティ顧問Howard Schmidt氏,IT Proで日本語版を掲載している「CRYPTO-GRAM」の著者であるBruce Schneier氏などが名前を連ねる。

「Top20リスト」やホワイト・ペーパーも有用

 四半期に一度更新されている「Top20 Internet Security Vulnerabilities(Top20リスト)」も有用なコンテンツの一つ。これは,クラッキングやウイルスなどの攻撃対象になりやすいシステムやセキュリティ・ホールをまとめたリスト。管理しているシステムのセキュリティをチェックする際に役立つ。

 管理者向けに危険なセキュリティ・ホールをリストアップしたTop20リストは,SANSでは2000年に公開を開始し,毎年1回アップデートしてきた。ところが2005年になると,1年に1回ではアップデートが追いつかないとして,四半期に一度更新するようにした(関連記事)。このため以前の名残で「Top20」としているものの,リストに記載されているセキュリティ・ホールは20個よりも少ない。

 そのほか,「Intrusion Detection FAQ」「Malware FAQ」といったFAQモノやセキュリティ・ポリシーのテンプレート,さまざまな分野のホワイト・ペーパーや調査データなどを公開している。ここでは紹介しきれないので,SANSの「Information and Computer Security Resources」などを参照していただきたい。