「ゲートキーパー」って何?
「ゲートキーパー」という言葉をみなさんは聞いたことがありますでしょうか。おそらくほとんどの方は知らないと思いますが、マニアックな方なら「SONYとゲートキーパー」や今ひそかに話題になりつつある「ゲートキーパー立法」など知っているのではないでしょうか。
「ゲートキーパー」という言葉をWikipediaで検索してみるとこちらのページのような結果が得られます。「門番」という意味から転じて交通や通信を監視したり制御したりする人や物(装置)のことを意味します。
●IDSとゲートキーパー
この「VineLinuxでつくる不正侵入検知システム」でもIDSは不正アクセスや怪しいパケットを監視するためにはなくてはならないツールであることをみなさんに伝えています。しかし、もはやIDSだけで安全な通信を実現できるとは限りません。
そこで私(正確にはもう1人とのグループ研究です)はこのゲートキーパーとIDSとを連携させることで今以上に安全な通信を実現できるのではないかと考えました。しかし世の中にはIDSを踏襲し、防御を重視したシステム(IPSやIDPと呼ばれるもの)が既に出回っており、これらとの性能の比較という観点から考えるとまだまだだと感じています。
ではなぜ私たちがこのようなシステムを考案したのかというと、以下の2点が挙げられます。
・リアルタイム処理に重点を置いた点
単に「不正アクセス・不正侵入」と言ってもその手口は様々です。しかしこれらのような攻撃にほぼ共通しているのは「できるだけ短時間に大量のアクセスを試みる」ということ。
というわけで私たちはできるだけ短時間にこのような通信を感知して然るべき通信制限を施すというリアルタイム処理に最も重点を置きました。また、IDS特有の誤検知に対しても万が一誤検知した時でも正常な通信までもが制限されないような設定も施しました。
・家庭にあるようなパソコンで簡単に実現できる点
一般に家庭などではIDSを導入するということはまず考えられません(特別な研究をしていらっしゃる方は別ですが)。それに商用のIDSやIPS・IDPは導入に数十万〜数百万かかるので企業でさえ導入するのには十分な検討を要します。
そこで私たちは家庭にあるようなデスクトップ型のパソコン数台でできるだけ安く簡単にIDPやIPSなどのシステムに似たような機能を実現しようと考えました。極端な話、ネットワーク環境を構築できる数台のパソコンさえ用意できればいつでもどこでも簡易版IDPやIPSが実現できるわけです。
長々と話しているだけではわかりにくいと思いますが、私たちが行った研究を少しは理解していただけましたでしょうか。
せっかく研究したことですので私はここでいろいろと説明していきたいのですが、2名での研究のため、著作権の関係上詳しいプログラム等は残念ながら公開できません。しかし研究過程で生じた一般的な処理方法や技術などについては公開できる範囲で公開していきたいと思っています。
数回に分けて特集していく予定ですが、まずはここまで・・・。
●「VineLinuxでつくる不正侵入検知システム」へ戻る