| エンタープライズ:ニュース | 2002/10/30 20:31:00 更新 |
賢いセキュリティ製品:ネットワークスキャナ
ネットワークで脆弱な個所がどこにあるのかをハッカーに教えてもらう必要はない。人工知能を備えたネットワークスキャナを使えばよいのだ。既知のセキュリティ問題のデータベースと複雑なロジックを組み合わせることによって、人間のハッカーよりも先にセキュリティ問題を発見することができる。
ネットワークで脆弱な個所がどこにあるのかをハッカーに教えてもらう必要はない。こちらも賢くなって、知能――正確に言えば人工知能(AI)を備えたネットワークスキャナを使えばよいのだ。
最新型のネットワーク脆弱性スキャナは、ネットワークに探りを入れ、その弱点を学習するためにAI機能を備えている。しかしスキャナメーカーの中には、このプロセスをAIと呼ぶのをためらっている企業もある。これには、マーケティング上の理由などが絡んでいるようだ。
カリフォルニア州ミッションビエホにあるスキャナベンダー、ファウンドストーンで製品担当ディレクターを務めるデイブ・コール氏は、「基本的にはAIと言えるかもしれないが、それは顧客が重視している機能ではない。彼らは、一般的な脆弱性だけでも手に余るほどのトラブルを抱えているのだ」と説明する。
しかしそのプロセスをどのように呼ぼうとも、ネットワーク脆弱性スキャナは、既知のセキュリティ問題のデータベースと複雑なロジックを組み合わせることによって、人間のハッカーよりも先にセキュリティ問題を発見することが目的だ。
ギガ・インフォメーション・グループのアナリスト、マイク・ラスマッセン氏によると、スキャニングソフトウェアは検出した問題のリストを生成するだけでなく、その対策も示してくれるものが多いという。
だがスキャナはセキュリティを保証するものではない。高度な技術を持ったハッカーが小さなセキュリティホールに付け込む恐れがあるし、大きなホールに対しては通過不能なファイアウォールを築くしか方法がないかもしれないからだ。
カリフォルニア州アリソビエホにあるイーアイ・デジタル・セキュリティのセールスエンジニア、オリバー・デイ氏は、「問題は、安全かどうかということではなく、どのくらい保護されているかということだ。これは調べなければ分からない。それも、一度調べたら、それで終わりというものではない」と話す。
また、ネットワークの周辺部(外界と接するポート)をスキャンするだけでは不十分だ。ネットワークの内側にも目を配らなければならない。内部からの攻撃も存在するからだ。デイ氏によると、ある顧客企業で、空席になっていた間仕切りにネットワークポートを開けたワイヤレスアクセスポイントが設置されているのが見つかったという。このため、外部の人間が駐車場からネットワークトラフィックを受信することができる状態だった。
スキャナベンダーらがよく強調する品質の1つが「優しさ」である。これは、稼働中のシステムがスキャニングソフトウェアによってクラッシュさせられないことを意味する。コール氏によると、第1世代のソフトウェアの中には、どのOSが応答するかを調べるために、規格外のリクエストでポートのクエリを行うものが多かったが、この方法は、ネットワークに接続されたプリンタや製造装置(これらの機器は限られたエラー応答しかできない)をクラッシュさせる恐れがあったという。
ラスマッセン氏は、主要なネットワーク脆弱性スキャニングソフトウェア製品として、インターネット・セキュリティ・システムズ(ISS)の「Internet Scanner」、新興企業であるサイクの「CycSecure」、イーアイの「Retina」、ファウンドストーンの「FoundScan」、シマンテックの「NetRecon 5」およびフランスのフリーウェア製品「Nessus」を挙げている。
主要なスマートスキャナ
ISS(ラスマッセン氏によると業界最大手)の創設者で同社のCTO(最高技術責任者)を務めるクリストファー・クラウス氏は、スキャナの役割は、例えて言えば「ドアのノブを回してみて、どんな脆弱性が存在するか調べることだ」と説明する。同氏は、AIよりも「エキスパートルール」という表現を好んでいる。
クラウス氏は、「当社のソフトウェアはネットワーク上のポートをスキャンし、あるポートで収集した情報(セキュアでないパスワードなど)を使ってほかのポートへの侵入を試みる」と説明する。(同氏によると、ISSはたいていの企業のネットワークに侵入することができるという。これは、企業内プログラマーが、Webポートをほかのアプリケーション、例えばインスタントメッセージングなどで使用することが多いからだ。)
シマンテックでNetReconを担当するプロダクトマネジャー、ハロルド・トゥーミー氏も、「エキスパートシステム」という用語を好んで使っている。同氏によると、NetReconもプログレッシブスキャニング方式を採用しているが、安全性にも重点が置かれており、立会場のシステムをクラッシュさせるといった心配はないという。
イーアイのデイ氏によると、同社のRetinaは「Common Hacking and Attack Methods」(CHAM)というAI機能を搭載しているという。CHAMにはインテリジェントなアルゴリズムが組み込まれており、バッファオーバーフローやWebサーバプロトコルの弱点を発見する。また、事前に設定した時間あるいは間隔で、ネットワーク全体または一部のスキャニングを実行するよう設定することも可能だという。
ファウンドストーンのコール氏は、「具体的にどんな方法でスキャニングを行うかというのは二次的な問題だ。重要なのは、ビジネス面でのリスクを知らせることだ」と話す。このためFoundScanでは、正確であると同時に「優しい」スキャンに重点が置かれており、見つかった問題への対策を示すガイダンス機能も備えているという。
サイクでは、AI機能を使っていると公言している。同社は最後の伝統的なAI企業であり、過去18年間にわたって、ソフトウェアに常識を与えるべく、2次述語計算法を用いたデータベースの開発を手がけてきた。
CycSecureのプロジェクトマネジャーを務めるシンディ・マチュセック氏によると、この製品(まだベータ段階)は、脆弱性のリストを生成するだけでなく、AI機能を使って「影響報告書」を生成する機能も備えるため、ユーザーはどの脆弱性に注意を払うべきか判断することができるという。「ネットワーク上に存在する500個の問題のうち、心配すべき問題は20個だけかもしれない」と同氏は説明する。
またCycSecureは、機械よりも人間にとって分かりやすい脆弱性(ペットの名前をパスワードとして使うなど)を見つけたり、システム管理者以外の人間がパケットスニファをインストールするのは怪しいと判断したりするのにもAI機能を利用している。
各社の製品はいずれも、TCP/IPネットワークをスキャンする。ファウンドストーンのFoundScanの価格は3万5000ドル(最大256個のIPアドレスに対応)から。メンテナンスは別料金となっている。このソフトウェアはWindowsホスト上で動作する。
イーアイのRetinaもWindows上で動作し、価格は1スキャナに付き6520ドル(最大256個のIPアドレスに対応)。各スキャナライセンス(アクティベーションキー)は最大512個のIPアドレスに対応する。年間メンテナンス価格は、初期購入価格の30パーセント程度。
ISSのInternet ScannerもWindows上で動作する。シングルマシン版は無償でダウンロードできるが、250台のデバイス用のライセンス価格は6095ドルとなっている。250デバイスの永久ライセンスの価格は1万1400ドル。いずれもメンテナンス費用込みの価格である。
NetRecon 3.5の価格は、最大256個のIPアドレス用が3995ドルで、IPアドレス数に制限のないバージョンが1万9995ドル。Windowsホスト上で動作する。年間メンテナンス価格は、必要とするサポートのレベルに応じて初期価格の18〜25パーセントとなっている。
CycSecureは、セキュアな(Linuxベースの)サーバ上で動作する。価格は、サーバが「数千ドル」で、これに加えて、IPアドレス1個に付き10〜100ドル(規模によって異なる)。
Nessus Security Scannerは無償でダウンロードすることができ、UNIX系システム(Solaris、FreeBSD、Linux)上で動作する。
ベンダー各社は、スキャニングプロセスにさまざまな名前を付けているが、重要なことはこれらのシステムがハッカーのようにネットワークに探りを入れ、しかもどんなハッカーも及ばないほどの根気と専門知識をもってネットワークを押したりつついたりするということだ。AIスキャナという頼もしい味方がいれば、あなたの会社のネットワークが人間の知能によってノックアウトされる心配はなさそうだ。
レイモント・ウッド氏は、ハイテク分野を専門とするフリーランスライターである(テキサス州サンアントニオ在住)。[Lamont Wood,ITmedia]
