私は侵入検知システム（IDS）と，人気が高いIDSの評価レポートについて解説した（既報）。IDSは，ファイアウオールやぜい弱性スキャナ，パケット・スニッファ/アナライザ（パケット・キャプチャ・ツール），ポート・スキャナ，ネットワーク・マッピング・ツールなどと同様，あなたのネットワークに役立つツールである。

　最近私は「受身型ぜい弱性スキャナ（PVS：Passive Vulnerability Scanner）」と呼ばれる新しいツールのことを知った。PVSは，パケット・スニッファ/アナライザが持つ探査能力，そして能動型ぜい弱性スキャナやIDSが持つ検索能力を併せ持つハイブリッド・ツールである。

　ご存知のように，パケット・スニッファ/アナライザは，パケットを分析できるようにネットワークから無差別にキャプチャする。能動型ぜい弱性スキャナは，システムとデバイスに既知の弱点がないかどうか調べる。そしてIDSは，ネットワークに流れるトラフィックから侵入しようとする試みを検知する。PVSはその動作方法にちょっと工夫することで，それらすべてのことができる。ただし，PVSはそういったタイプのツールを代替するものではなく，補助的に働くものである。

「警告」と「分析」が1つのツールで可能
　PVSはまず最初に，ネットワーク・スニッファを置くときと全く同じように，様々なネットワーク・セグメントからやってくるトラフィックをモニターできる場所に置く。それ以後のPVSは，リアルタイムでトラフィックを調べ，ぜい弱性スキャナがやるように，それをルール・セットと比較して分析する。ルール・セットが壊れていると，ネットワーク上で起きる可能性のあるセキュリティ問題を，間違えて警告してしまうので注意が必要だ。

　PVSがどのように働くのか，いくつか例をあげてみよう。例えば，FTPサーバーの稼働を許さず，特定のシステムだけがWebサーバーの稼働を許されている環境があるとしよう。もし，そのネットワーク内外のだれかが，このシステムの1つに対して内向きのFTPアクセスを開始したら，PVSは管理者に警告する。同様に，もしPVSがWebサービスを稼働していないはずのシステムに対するWebのトラフィックを発見したら，PVSは警告を発する。このような検知機能はIDSにもあるが，PVSはさらに分析ができる。

　この例では，Webトラフィックを検出するときに，どのタイプのWebサーバー・ソフトが使われているかを判断するため，パケットを分析できる。もしそれが，古いバージョンのIIS（Internet Information Services）やApacheだったら，PVSは管理者のシステムがぜい弱なソフトウエア・パッケージを稼働していると警告する。このように，管理者は問題を見つけるのにわざわざ個々のシステムの弱点を定期的にスキャンしなくても，すぐに問題に気づくようになる。

　もう1つの例は，だれかがあなたの承認や認識なしにサーバーを非武装ゾーン（DMZ）に置くような場合だ。PVSがあれば，ほかの方法よりもそうした活動に早く気が付くだろう。PVSはトラフィックを監視するが，ネットワーク機器や個々のシステム上で稼働するエージェント・ソフトには依存しないからだ。PVSは，独自に配備でき，集中管理が可能で，ネットワーク・トラフィックの問題を調べられる。

現在使用できるPVSシステム
デモ版も入手可能
　今のところ実際に利用可能なPVSシステムを，私は1つしか知らない。それは米Tenable Network Securityの「NeVO」だ。Red Hat LinuxとFreeBSD UNIXプラットフォーム上で稼働する。NeVOはWindowsプラットフォーム上では動作しないが，Windowsネットワークに対しては互換性があるので利用できる。

　NeVOはWindowsとUNIXネットワーク上の異常を検出でき，さらにフリー・ソフトの能動型ぜい弱性スキャナ「Nessus」の形式でログを生成するので（該当サイト），Windows版を含めてどんなNessusクライアントでもそれを見られる。

　Nevoについては，同社のWebサイトでより深い情報が手に入る（該当サイト）。また，PVSとNeVOに関する詳細な解説である「Passive Vulnerability Scanning, Introduction to NeVO」のPDFも同サイトにある（該当サイト）。なお，同サイトでは，製品の30日間の期間限定デモを入手できる。