米国海軍の侵入検知システムプロジェクトの終焉

呉井嬢次(Johji Kurei) 2007-11-12 16:49:00

 侵入検知システム(IDS)の先駆けとなった米国海軍の侵入検知プロジェクトがひっそりとホームページを閉じた。

 インターネット経由した不正アクセスが注目され、軍用から商用へ展開されたファイアウォールとは逆に、軍用研究のプロジェクトがオープンソースを選んだIDSは、後のオープンソース系IDSに大きな影響を与えている。今では、ネットワークの高速化、脆弱性情報の増加もあって、侵入検知をソフトウエアだけで処理させるには限度がある。ギガのケーブルをパソコンで漏れなく、全プロトコルを走査して検知するのは困難なことは想像できると思う。

 でも当時、米国海軍が研究した頃は、ネットワークもノンビリ遅い時代であった。TCPdump、perlで処理していく為に、単純なルールを用意さえすれば、ネットワークを監視して、ルールに合致すれば「検知」となり、知らせてくれた。例えばFTPサービスのパスワード攻撃では、攻撃された後になってからシステム管理者はFTPログを眺めて初めて気づき、対策を取ってきた時代だ。ルールを記述すれば、少なくとも攻撃されている時点でシステム管理者に知らせ、迅速な対処が可能となり、画期的だった。

 関連資料には、7Gのハードディスクで構成するLinuxマシンとなっており、現在のノートパソコンの10分の1以下の性能で動いていたことになる。そんなプロジェクトも西暦2000年頃には米軍のIDSプロジェクトは役目を終え、ウェブにはソースプログラム、インストールマニュアル、簡単な資料が置かれ、アーカイブのような状態になった。

 それでも企業のサイトに不正アクセスや個人情報が漏えいする事件がニュースになる度に、IDSやファイアウォールは注目され、引用されながら商用のIDS製品は売れていった。日本でもオープンソースのIDSであるsnortが注目され利用者も増え、PC雑誌の付録CDに付くようになった。ユーザーズグループが作られ、IDSユーザーも増えた。しかし、snortが米軍のSHADOWプロジェクトをベースにしていることを知っている人はどれだけいるだろう。

 例えば、snortが新たな侵入を検知させるルールをテキスト型で記述する方法は、変わっていない。ウイルス対策ソフトの定義ファイル(パターンファイル)が、悪用を恐れ、内容を秘匿してバイナリとして提供されているのと比べれば、IDSは開けっぴろげだ。そんな点も、技術を身につけたい初心者にとっては、学びやすい環境であった。

 今でも侵入検知の仕組みを説明するセミナーでは、SHADOW、pakemonなどのソースプログラムから、基礎を説明することがある。単純であるが故に、仕組みを学ぶには適切なのだ。しかし、既にホームページは閉じられ、検索サイトで探してもソースが見つからない。

 手持ちのPCのハードディスクの中だけに、ソースが存在するんだな、と思うと、ちょっと寂しい。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!