前回,私が担当したコラムでは,「セキュリティ対策製品の価値は,導入後の運用で決まる」と題して,ファイアウオールと侵入検知システム(IDS:Intrusion Detection System)製品の導入時の問題やトレンドを解説した。今回は IDS に焦点を絞り,掘り下げてみたいと思う。内容は大きく分けて2点。製品の機能面とサービスについてである。前者は,(1)現在市場に出ている IDS 製品の機能と,ベンダーが開発を模索している機能のトレンドについて。後者は,(2)これらの機能を活用して提供されるサービスのトレンドと,今後必要とされるであろうサービス内容についてである。

IDS 製品のトレンド

 前回私が執筆したコラムでも簡単に述べたが,IDS ソフトウエアの機能面でのトレンドには,以下のようなものが挙げられる。

(1)ギガビット・ネットワークへの対応
(2)管理機能の充実
(3)機能分割
(4)誤報の削減
(5)他製品(ファイアウオール等)との一体化

 それでは,特に機能競争が激しい(1)から(3)までについて,以下詳細に解説する。

~ギガビット・ネットワークへの対応~

 まず挙げられるのは,何と言っても「ギガビット・ネットワーク」への対応だろう。ネットワーク上を流れるパケットを監視するNIDS *1 において一番気になるのは,ネットワークの高速化に処理が追いつかなくなって「パケットの取りこぼし」が発生することである。こうなると,監視カメラの役目を果たせなくなる。

*1 NIDS: Network-based Intrusion Detection System (ネットワーク型侵入検知システム)

 激しい機能競争のため,ここ数カ月の間でもさまざまなIDS 製品が淘汰されている。そして,生き残った製品の多くは,やはりどの製品もギガビット・ネットワークへの対応を可能としたか,もしくは対応する方針を明らかにしている製品である。ギガビット・ネットワークへの対応が重視されていることが表れている。

 当然,製品(ベンダー)によって対応の仕方には違いがある。元々ギガビット・ネットワークへの対応を売り物にしている製品もあれば,他ベンダーの買収により技術を吸収して対応しようとする製品もある。それまでの開発計画を見直して,まず第一に対応しようとしている製品もある。ある売れ筋の IDS 製品ベンダーは,製品のシェアが大きいためにユーザーからの要求も多く,買収や計画の見直しなど,ギガビット対応に必死である。

 ただし,「ギガビット・ネットワーク対応」といっても,今までにない機能を追加するわけではなく,アルゴリズムの工夫などによって検知エンジン部分の性能を向上させるという方向の開発が進められているようだ。そのため,通常のネットワークであっても,トラフィックの増大により発生する可能性のあるパケットの取りこぼしを削減する効果が期待できる。ユーザーにとってのメリットは大きいものである。

 また,「ギガビット・ネットワーク対応」とはいっても,対応できるネットワーク・スピードは製品によって異なる。ギガビット級の速度で流れるパケットすべてを拾えるわけではなく,ギガビット・イーサネットに実質的に対応できるスペックの製品を「ギガビット・ネットワーク対応」と銘打っているようだ。

~管理機能の充実~

 もう一つの大きなトレンドとして,管理機能の充実が挙げられる。レポート機能やログ・データの管理・分析機能の強化は,今に始まったことではないが,昨今のギガビット・ネットワーク対応と並ぶ“売り文句”の一つになっている。

 IDS 製品には,元々がフリーソフトだったり,個人が開発していたものをベンチャーとして発展させたりした例がある。また,それらの製品を基準にして開発されたものもある。このため,最初から商用を考慮した製品とは異なり,ユーザー・インターフェースが貧弱と言わざるを得ないものも見受けられた。

 しかしここ数カ月の間に,ベンダー自体が成長して,今までおろそかになりがちだったユーザー・インターフェースの開発に注力できるようになってきた。もちろん,この分野はユーザーからの機能改善の要望も多い。そのため,今までのような「ある程度の不具合は目をつむろう」という時代は終わり,使い勝手の改善も生き残りの大きな要素となっている。

~機能の分割~

 IDS 製品のトレンドとして,最後に挙げるとすると,機能単位の製品の分割があるだろう。いわゆる,モジュール化である。IDS 製品の機能は次の5点に大別できるので,それらを1つのソフトにするのではなく,それぞれを独立したモジュールに分割するのである。

(1)検知エンジン部分
(2)ログ収集および管理部分
(3)ログ・データ格納部分
(4)アラート表示部分
(5)監視機能操作部分

 この分割によって,ソフトウエアの肥大化を避け,機能の専門化や性能の向上を目指すとともに,ある部分の不具合が他の部分に影響をおよぼすことを避けられるようになる。

 実際,エンジン部分を別のモジュールで提供して専用マシンで稼働させ,それ以外の部分を別マシンで運用するという形態は以前から存在していた。最近では(a)ログに関する部分を管理アプリケーションから切り離したり,(b)監視機能操作部分(例えば監視ポリシー制御の機能等)を切り離し,監視ポリシーを変更しながらアラートの発生を別のアプリケーションでリアルタイムで監視できるようにしたり,(c)ログ管理機能と通信を行いアラートを拾って,表示することだけに専門性を持たせた機能を独立させる---などといった方法がある。

 前回のコラムでも述べたように,IDS は単なる「監視カメラ」である。そのことから考えれば,付加的な機能の不具合により,監視カメラ自体が正常に動作しなくなったり,最終的には製品自体を導入し直さなくてはならないような事態は,もっとも避けなければならないことだ。

 こういった不具合には,当然ベンダー側でも,機能を修正することで対応を続けているが,いたちごっこであることは否めない。切り離して各機能に独立性を持たせることは,根本的な解決方法の一つであろう。

 現時点でリリースされているIDS製品は生き残りをかけて,以上のような機能を搭載し,さらにベンダー間での競争が激化していくことが予想できる。その結果,製品間の違いが今以上に明確になっていくことだろう。ユーザーにしてみれば,今まで自組織で使ってきた製品の次バージョンを導入するべきか,それとも違うベンダーの製品に変えるべきか,選択する基準が一層絞り込めるようになったのではないだろうか。

IDS サービスのトレンド

 IDS 製品は身近になっているものの,やはり「監視カメラ」でしかなく,その導入や運用をユーザー自身が行うことが難しい場合も多い。そこで,それらを請け負う「侵入検知サービス(IDS サービス)」が登場している。

 IDS 製品をネットワーク(LAN)のどこへ配置すればよいかなどのコンサルティングや,実際の導入を請け負うサービスは以前から存在しているが,現在は運用監視を含めたサービスがトレンドとなっている。特に,世界中に拠点を持つような企業の大規模ネットワークを対象とするものが登場している。

~大規模ネットワークへの対応~

 例えば世界各地の事業所にあり,その各事業所に施設されているネットワークにIDSを導入し,それをいくつかの基地局や監視センター等で管理するというサービス形態が考えられるだろう。世界中に散らばっていなくても,公開しているセグメントが何種類かあるような,規模の大きなネットワークも対象となるだろう。

 この場合,要望として挙げられるのは,「それぞれの導入ポイントごとを独立して監視するのではなく,何らかの形で体系的・統合的な監視および解析ができないだろうか」---という点に尽きるだろう。

 製品ベンダーもこの点を意識し,複数ポイントを統合的に監視する機能を充実させつつある。具体的には,先に述べたように,機能を分離して複数の検知エンジンをそれぞれのポイントに配置し,一カ所のデータ収集機能モジュールで吸い上げる方法が考えられる。

 しかし,IDS サービスのプロバイダ側は,既存製品の機能をフルに活用したとしても,こういった規模のユーザーの満足を得ることが現段階では難しい,と考えているように見受けられる。なぜなら,既存のIDSの機能では,収集したデータを体系的・統合的に監視し解析することが難しいからである。そのためには,今の製品にはない「何か」を付加する必要がある。

 この「何か」をはっきりと説明することは今はまだできない。一般的なアイデアとしては,スキルを持つ人員を配置して人手で解析するのか,それとも自動化したツールを開発して使用することになるのか,現時点では何とも言えない面がある。とはいえ,ユーザーにとっては,サービス・プロバイダを選ぶポイントは,この「何か」であることは明白であろう。

◇     ◇     ◇     ◇     ◇     ◇

 最後になるが,IDS について筆者が最近感じていることがある。それは,そろそろ既存のIDS 製品とは全く異なるコンセプトに基づいた製品が出てくるのではないかということだ。例えば,(1)Honeypot *2 と合体した製品や,(2)ネットワーク・トラフィック解析製品との統合による強力なパケット収集型製品,(3)ログ解析に画期的な手法を用いて侵入の痕跡を絞り込める製品,(4)人手による監視ポリシーの設計が要らない(自動?汎用?)無人型の製品---などである。

*2 Honeypot: 攻撃者やワームをおびき寄せるためのおとりホスト

 これらのアイデアは,「IDSの進化版」という位置付けにはとどまらず,既に IDS の分野から離れてしまうかもしれない。しかしながら,こういったコンセプトは一部のメーリング・リストなどでは活発に議論されている。この業界のスピードからすると,こういった魅力的な製品が,本当にリリースされる日も近いような気がしてならない。

 こう言う筆者にも“企て”がないこともない。いずれ,このコラムでもお話しできると考えているが,今はまだ筆者側の問題から時期尚早だと思っている。


大木 英史(Eiji Ohki)
株式会社ラック 不正アクセス対策事業本部
ohki@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。