【無料ツールで作るセキュアな環境(22)】〜snort運用上の注意〜(執筆:office、みっきー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.19(火)

【無料ツールで作るセキュアな環境(22)】〜snort運用上の注意〜(執筆:office、みっきー)

特集 特集

 「無料ツールで作るセキュアな環境」の第7回から続いたsnort関連の連載であるが、今回でひとまず snort を総括して締めくくりたい。

 ネットワークの安全な運用にあたっては、これに対する攻撃手法やセキュリティホールが日々発見されており、これに対応してネットワークも常にメンテナンスし続けていかなければならない。侵入検知システムであるsnortは、このネットワークメンテナンスのために用いるためのツールの一つではあるが、他のネットワークツールにもましてきめ細かなメンテナンスが必要だ。

 新たな攻撃手法が明らかになった場合、ネットワークソフトを修正するには、その長大なコードを検討して修正ソフトを開発し、そしてその修正ソフトが各マイナーバージョンや様々な環境下でも正しくできるか、修正後に攻撃をきちんと回避することができるか、修正後に他の機能に障害がでないかなどを丹念に検証しなければならない。

 それに対して侵入検知システムは、その攻撃コードなどから対応する検知用ルールを作成することができ、また誤検知による多少の誤警報が許容される。従って検知用ルールの開発は、一般のネットワークソフトの修正ソフト開発よりも工数が少なくて済み、早い時期に検知用ルールがリリースされることが期待できる。

 特にsnortはオープンソースであることから、特定コミュニティに依存することなく、多くの人々がメンテナンスに参加している。同様に多くの人々が検知用ルールのメンテナンスにも参加しており、毎日のように発表されるセキュリティ情報に遅れることなく対応する検知用ルールが発表されている。常に最新のルールが得られる事のメリットを生かすには、自システムのsnortのより頻繁なメンテナンスが必要であることを十分留意して欲しい。

 snortは攻撃を検知した場合に、自動的にその通信を遮断する機能を有するが、誤検知の可能性が考えられるので、これらの機能を有効にすることは勧められない。snortが稼動しているからといって、そのネットワークが防御されているわけでは無いことを理解して欲しい。snortの発したアラートが誤報であるか否かの判断は必ず管理者が行い、それに従った正しい対応を行うべきである。それらの正しい判断および対応には、ネットワークに対する種々の知識と最新のセキュリティ情報に精通している必要があり、そしてsnortを含めたネットワークのメンテナンスを絶えず続けなければならない。

 一般的に侵入検知システムはDDoS等の高負荷に弱いシステムだとされているが、機械的なシステムの処理能力の問題以前に、ネットワーク管理者というヒューマンシステムの処理能力が先に限界になることもありえるので、注意が必要ある。snortの運用はネットワークの高い安全性と可用性をもたらすが、同時に運用・メンテナンスのために相当量の工数が増加することを忘れないで欲しい。


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

[1] http://www.silicondefense.com/software/spice/index.htm
[2] http://www.whitehats.com/
[3] http://www.yk.rim.or.jp/~shikap/patch/
[4] http://www.hawkeye.ac/micky/network/snort_use.html

詳しくはScan本誌でご覧下さい
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. [数字でわかるサイバーセキュリティ] FormBook、圧縮ファイル添付攻撃で日本も上位10位内の標的国に

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×