現在では，セキュリティ・インシデントを検知したり調査したりするための，パケット・アナライザやIDS（侵入検知システム）といったツールが多数市場に出ている。トラフィックを分析できるこれらのツールは確かに有用だが，選択を誤ると貴重なリソース（お金や時間）を浪費することになる。そこで今回のコラムでは，トラフィック分析ツールを選択するポイントについて解説したい。

パケット・アナライザかIDSか

　まずは，選択すべきツールの種類を決める必要がある。具体的には，パケット・アナライザかIDSのいずれかを選択することになる。いずれも，監視対象のネットワーク・セグメントに流れているパケットを収集し，分析するためのツールである。しかし，それぞれ特徴があるので，目的に応じて選択する必要がある。

　パケット・アナライザでは，すべてのトラフィックを詳細に解析できる。しかし，遠隔管理機能や，解析データを保存しておく機能が十分に備わっていないために，リモートからの監視に利用するには機能不足の点がある。また，インシデントかどうかを自動的に判定する機能も不足している。

　一方 IDSでは，インシデントを判別する機能は当然充実している。リモートからの監視を可能にする機能も備えている。しかし，パケットの一つひとつを詳細に解析する機能は不十分である。

　つまり，

• トラフィックを詳細に解析したいのかどうか
• インシデントを検出したいのかどうか
• リモートのネットワークを監視したいのかどうか

によって，どちらを選択するのかが決定される。逆をいえば，ツールの種類を決めるためには，トラフィック分析の目的を明確にしなければならない。

調査対象を明確に

　ツールの種類を決定したら，次にツールに要求される仕様を決定しなければならない。そのためには，調査の対象とするトラフィックを明確にしなければならない。調査対象を明確にすることで，オーバー・スペックのツールや役立たずのツールを購入してしまうことを防止できる。

　例えば，電子メールとWebによる情報漏えいだけを防ぎたいのならば，ツールはSMTPとHTTPに対応していれば十分である。多数のプロトコルに対応している必要はない。その代わり，送受信される内容，すなわちコンテンツ・レベルまで調査できなければならない。

　一方，あるホストあてに送られてくるパケットのプロトコルの種類を調査したければ，多数のプロトコルに対応したツールが必要だ。ただし，コンテンツ・レベルまで調べる必要はない。

　まとめると，以下の項目を調べたいかどうかで，選択すべきツールの仕様は変わってくる。

• 特定のホスト発/あてのトラフィックを調査したいかどうか
• 特定のネットワークを発着するトラフィックを調査したいかどうか
• 特定のグループや特定ユーザーの挙動を調査したいかどうか
• 特定の攻撃の兆候を発見したいかどうか
• 特定プロトコルの利用方法を調査したいかどうか

システムとしての視点を

　ツールの種類と仕様が固まれば，必要とする具体的なトラフィック分析ソフト名がリストアップできるだろう。さらに絞り込むには，トラフィック分析ソフト単体ではなく，システムとしての視点が必要である。

　トラフィックを分析するには，トラフィック分析ソフトをインストールした監視用ホストや，それぞれのネットワーク・セグメントに接続してトラフィックを収集する「センサー」などにより，分析用のシステムを構築することになる。そのため，システムとしての視点がないと，いざ使おうとしたときに，ユーザーの目的を満たせない場合がありうる。

　具体的には，

• ソフトウエアが稼働するOSの種類
• センサーへのアクセスがリモートから可能かどうか
• 複数のセンサーでトラフィックを収集できるかどうか
• 単一のソフト（コンポーネント）でトラフィックの収集と分析の両方を行うのかどうか

などである。

　システムとして考える場合には，当然運用についても考慮しなければならない。

• 収集したデータは，他のツールでも利用できるかどうか
• 運用担当者の技術レベルで使いこなせるかどうか
• 分析対象のトラフィック量に対応できるかどうか

　ツールを既に使いこなしているユーザーからすれば，今回のコラムは“自明”なことばかりだっただろう。しかし，ベンダーが並べる“美辞麗句”にだまされて選択してしまうと，お金ばかりか貴重な時間までも浪費してしまう恐れがある。選択する際には十分慎重になってほしい。繰り返しになるが，「何の目的で導入するのか」を明確にすることが第一だ。場合によっては，導入自体が不必要なこともありうる。このことは，トラフィック分析ツールに限らない。

---

---

　IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は，その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え，専門家の立場から解説していただきます。