侵入検知ツールsnortがバージョンアップ

オープンソースで知られる侵入検知ツールであるsnortがバージョンアップされた。改善点は色々あるが、なんといっても、IPv6へ対応したこと、MACアドレスを偽った攻撃に対応したことがポイントだ。

侵入検知システムって検知だけ？

　侵入検知システムとは、ネットワークを経由してシステムに侵入する時に検知、報告してくれるツールの総称だ。Intrusion Detection Systemを略し、IDSと呼ばれる。検知だけで、不正侵入を排除してくれないのか？という疑問をもたれる人も多い。そこで、市場には検知し、排除（アクセスを遮断）する機能を搭載した製品が登場しており、それらは侵入予防（保護）システムとしてIPSと呼ばれている。ちなみにIPSは、Intrusion Prevention/Protection Systemの略だ。しかし知名度としては、IDSに一歩及ばないこともあり、IDS/IPSとして表現されることも多い。

当初IDSはオープンソースを選択している

　ファイアウォールもIDSもミリタリー（軍）関係から研究が進められてきた。しかし、ファイアウォールと異なって、IDSは当初からオープンソースを基本に展開されてきたことは、あまり知られていない。現在でも米国陸軍のホームページからは、当時のIDSをダウンロードすることができる。機密性が求められるミリタリー分野としては珍しい。ちなみに、日本でも多くのIDSの研究が行われ、論文でも発表されてきたが、その中にはオープンソースで公開されたツールもある。残念ながら、日本の場合、研究者が移動（転職）すると、大学や研究機関に置かれていたホームページも無くなり、ソースプログラムもろとも行方不明となる。文部科学省には、そうしたアーカイブという観点から、なんとかしてもらいたいが、それはIDSとは違う次元なので別に置いておくことにする。

IDSからみえてくるネットワークセキュリティ

　現在、大学で情報セキュリティを教えているが、学生にはIDSからは色々学んでもらっている。多くのネットワークに関する書籍には、プロトコルの仕組み、暗号のアルゴリズムなどが書かれている。これは基礎を理解するには十分だ。しかし、世の中に出れば、不正な行為を見抜く技量が試される。教本通りにログが出力されるとは限らない。

　システム管理者なら、システムのログに残された手がかりから、不正アクセスを見つけ出し、対処しなければならない。これは警察の鑑識係が犯罪の足跡から犯人につながる手がかりを割り出すようなものだ。しかし、普通の生活をしていれば、不正アクセスに遭遇することは稀だし、それに遭遇した時には、事件に巻き込まれている当事者だから、そんな余裕はない。平時な時に、どれだけ場数を経験するか、ということがポイントとなる。そのノウハウが蓄積されたのがIDSである。

IDSのルールから手口を学ぶ

　ウイルス対策ソフトが新たなウィルスに対して定義ファイルのアップデートを促してくれる。しかし、素人にはアップデートされたデータの中身を解析し、知ることは困難だ。IDSなら侵入検知のルールのアップデート情報から、不正アクセスに関する手口を学ぶことが中身を知ることができる。どんな不正アクセスが存在し、それを何をもって検知するのか、という生のセキュリティ情報だ。更に一歩進めれば、情報システムに応じて、自ら考えた検知ルールを作り、IDSに検知ルールを加え、検証することも可能ということだ。

snortのバージョンアップ

　snortは、今回IPv6プロトコルにも対応し、ハードウエアによる識別をごまかす手口であったMACアドレスのハイジャックにも対処した。これにより、新たなセキュリティ検証の場を提供してくれたといえる。snort自身はエンジンに主眼を置かれているために、見た目には、非常に地味なツールだ。しかし、それをGUIなどでかぶせるツールやプラグインと組み合わせることによって、立派なGUI＆レポート機能をもったツールに大変身するので、挑戦してみてはいかがだろうか。

侵入検知ツールsnort　　http://www.snort.org/