米Sourcefireは,IDS(侵入検知システム)アプライアンス製品の新版「Sourcefire RNA」を2003年12月に出荷する。同社の国際営業担当副社長であるAllen Male氏が7月10日,IT Proの取材に対して明らかにした。SourcefireはオープンソースのIDSソフト「Open Snort IDS」をベースにした製品である(関連記事)。新版では,ネットワークを流れるトラフィックから,現在のネットワーク構成やそれぞれのマシンが提供するサービスなどをリアルタイムで解析し,Sorucefireに設定すべき最適のルール設定を表示する機能を備える。「管理者のチューニングの手間を大幅に削減できる」(Allen Male氏)。価格は未定。
併せて同氏は,7月10日付けで,三井物産がSourcefireの国内総販売元(マスター・ディストリビュータ)になったことを明らかにした。今後は,Sourcefireのローカライズなどは三井物産が実施する。
ほとんどのIDSは,攻撃トラフィックの特徴を収めた「シグネチャ」を使って,ルール・ベースで不正アクセスを検知する。流れているトラフィックとシグネチャを照らし合わせて,一致すれば不正アクセスだと判断し,管理者に警告などを出す。
シグネチャの数が多ければ多いほど,より多くの不正アクセス(攻撃パターン)を検知できるが,すべてのシグネチャを使うと,不要な警告まで出されることになる。例えば,ネットワーク上に存在しないOSやアプリケーションへの攻撃は,実際には脅威にならないが,IDSは機械的に警告を出す。その結果,重要な警告が不要な警告に“埋もれる”恐れがある。これを避けるために,管理者は不要なシグネチャだけを省いて,チューニングを施す必要がある。不要なシグネチャを省くだけではなく,必要なシグネチャは確実に残さなければ(使用しなければ)ならないので,それほど容易な作業ではない。
このチューニングの手間を省く機能を備えるのが,Sourcefire RNAである。Sourcefire RNAは,攻撃を検知するためにトラフィックを監視するとともに,トラフィックを解析して,ネットワーク上に存在するマシンのIPアドレスやMACアドレス,それぞれで使用しているOSの種類(バージョン),稼働しているサービス,動作しているサーバー・ソフトの種類(バージョン)――といったネットワーク情報を明らかにする。その結果を基に,使用すべきシグネチャや不要なシグネチャに関する情報を管理画面に表示する。その情報を使えば,最適なルールを作成できるという。ネットワーク情報に変更が加えられた場合(新たなマシンやネットワーク機器が追加された場合など)は,リアルタイムで表示情報も変更される。
2003年12月に出荷予定のバージョン1は,ネットワーク情報を管理者に知らせるだけで,設定は管理者が行う必要がある。そのため「“半自動”(Semi-automatic)である」(Allen Male氏)が,バージョン2(出荷時期は未定)以降では,自動的にルールに反映する機能を備える予定である。
(勝村 幸博=IT Pro)
