| エンタープライズ:インタビュー | 2003/11/21 04:41:00 更新 |
Interview:新アプライアンス「RNA」でIDSの補完を目指すSourcefire
Snortの開発者にして米SourcefireのCTOを務めるマーティン・ロッシュ氏。同氏によるとSourcefireは間もなく、初のパッシブ・ネットワーク・ディスカバリー・システムをリリースするという。
内外で広く利用されているオープンソースのIDS(侵入検知システム)、「Snort」の生みの親にして、これをベースとした商用アプライアンス製品「Sourcefire Network Sensor」を開発、販売する米SourcefireのCTO、マーティン・ロッシュ氏。同氏は先日行われたセキュリティカンファレンス「PacSec.jp」に合わせて来日し、「パッシブ・ネットワーク・ディスカバリー・システム(受動的ネットワーク検出システム)」という新しいコンセプトについて紹介した。その同氏にSourcefireの今後の動向について聞いた。
―― まず最初に、Sourcefireについて簡単な説明をお願いします。
ロッシュ Sourcefireは、Snort IDSというテクノロジを企業にも提供することを目的に設立した会社です。Snortは非常に有用ですが、使いこなすには相応のナレッジが必要になります。この部分を解決するためにSourcefireを立ち上げました。起業したのは僕の自宅で、2001年に最初の製品をリリースしましたが、その後順調に成長しています。PricewaterhouseCoopersをはじめ、Fortune 500クラスの大規模顧客をいくつも獲得していますし、従業員も増えて国際的な体制を取れるようになりました。
―― Sourcefireの製品と既存のIDS製品との違いは何でしょう?
ロッシュ 主な競合企業としては、Internet Security SystemsやCisco Systemsが挙げられるでしょう。Snortfireは、技術的な観点で言えばより柔軟で強力であるだけでなく、優れたデータ管理機能を持っている点で大きく異なります。既存のIDSの多くは、侵入を検出することはできますが、その結果、あまりに大量のデータを吐き出してしまいます。これを手動で解析するのは大きな負担です。これに対しわれわれは、出力結果を基に価値あるアウトプットを提出できるデータ管理テクノロジを提供し、コストや時間を無駄に消費せずにすむようにしています。
もう1つ、他のIDSに比べてインストールしやすく、使いやすいことも特徴です。ユーザーにとって使いやすさは重要ですから、われわれはできる限り製品を簡単にし、導師級の使い手でなくても導入、運用できるようにしています。
―― では、オープンソース版のSnortとの違いは?
ロッシュ まずは、企業としての責任を持って、製品として提供していることです。Snortの場合、何か助けが必要になったならば、メーリングリストに投稿するくらいしか手段はありません。これに対してSourcefireでは――もちろんSnortのコミュニティがレスポンスを返さないというわけではないのですが――事業として責任を持ってサポートサービスが提供されます。電話で問い合わせることだって可能です。
技術的な側面から言えば、SnortとSourcefire Network Sensorはほとんど基盤は同じです。ただ、Snortがさまざまなオプションを持ち、環境に応じてさまざまにビルドできるのに対し、Sourcefireはデフォルトで最適化が施されたアプライアンスとして提供されます。エンジニアリングのことをまったく考えることなく、簡単に導入し、利用することができます。一般にソフトウェアベースのNIDS(ネットワーク型IDS)は、ハードウェアや環境に合わせた設定やチューニングが非常に面倒なものですが、Sourcefireではそうしたメンテナンスの複雑さを省いています。
―― 先日のPacSecのセッションでは、既存のIDSの限界をいくつか指摘していました(別記事参照)。
ロッシュ IDSは有用なテクノロジです。ただそれも、利用者がその限界も含めてIDSのことを理解し、過剰な期待を抱いていなければの話です。しかもIDSは、導入した後もチューニングしつづけていく必要があります。そう考えていくと、まずはIDSに関するナレッジ、教育が非常に大事になります。
今のIDS技術の最大の課題は、コンテキスト(周囲の情報および因果関係)に欠けているということです。ネットワーク管理者よりも攻撃者のほうがシステムについて熟知しているといった不利な状況も生まれています。これを解決するには、IDSが攻撃者以上にネットワークについて理解しなくてはなりません。
そのためにSourcefireでは、「Realtime Network Appliance(RNA)」という別のアプライアンスを用意します。アクティブにネットワークをスキャンする代わりに、受動的にトラフィックを監視します。これにより、ネットワークトポロジがどうなっており、どのように運用されているか、つまり今ネットワークで何が起きているのかを把握することができます。
RNAは他に、ネットワーク内のホストについても、収集した情報を基にOSやバージョンなどを把握して脆弱性情報を収集、分析する機能を備えています。さらに、ネットワーク内に何らかの変化が生じたときに、それをリアルタイムに検出し、分析することも可能です。例えばシステムに新しいホストが追加され、その上である新しいサービスが稼働し、結果としてトラフィックが増加したといった変化を即座に把握し、理解することができます。こうした情報の相関分析を行い、IDSに戻してやることにより、従来のようにイベント情報だけに頼るのではない、とても強力な分析が可能になるのです。つまりIDSとRNAを組み合わせることにより、ネットワークをより深く把握できるようになります。
―― これはいわゆるアノーマリ分析(異常分析)とは異なるのですか?
ロッシュ 違います。アノーマリ分析はプロトコルに基づき、その振る舞いを検査するものですが、RNAは変化を検出するのです。それもある時点だけでなく、ある程度の期間をさかのぼって分析、把握し、何が起きたかについてある程度確証を得ることができます。これは通常のIDSでは困難です。
―― IDP(不正侵入防御製品)のように攻撃をブロックすることはできないのですか?
ロッシュ IDPはなかなかいいアイデアだと思いますが、むしろファイアウォール向けの技術だと考えています。これに対しRNAは、ネットワークの現況に基づくポリシーの施行によって、効果的な対処を可能にします。今ネットワーク上でどういったサービスが動いており、それが誰かに悪用されているのかといったことを分析した上で、プロアクティブに「外部とのこの通信をブロックせよ」といったポリシーを施行することができます。それもユーザーが設定やチューニングのことを意識することなく、ネットワークをあるべき姿へと近づけていくことが可能なため、RNAはIPSよりもさらに有用だと考えています。
―― では、今年8月に発生したMSBlastのような被害も、RNAがあれば防げたと?
ロッシュ そう思います。RNAは、一種の資産管理機能も備えており、パッチが適用されていない脆弱性のあるホストを検出することもできますから、あらかじめパッチ適用を強制し、ポリシーへの違反をなくすといった形で、ワームの被害を緩和できたはずだと思います。インライン型のIDPの場合、いったんワームに内部に入られてしまうとお手上げですし、ワームに感染したラップトップPCをLANに持ち込まれるというケースにも対処できません。MSBlastは、RNAを考えたきっかけの1つでもあります。ワームが入り込もうとする前に、ネットワーク上の情報を収集し、変化を把握することにより、インフラレベルでの防御が可能になるというものです。
―― これはいつ頃出荷されるのでしょう?
ロッシュ 日本の代理店である三井物産側での評価を経て、12月22日に一般向けにリリースする予定です。
関連記事
SnortベースのIDSアプライアンスが日本に上陸、サイトデザインが販売SnortベースのIDSアプライアンスが登場関連リンク
Sourcefire三井物産[高橋睦美,ITmedia]
