世の中には、実にさまざまなセキュリティ関連ソフトウェアが氾濫しており、 まさに百花繚乱の状況である。そうした中で、最近少し目を惹いたツールがあっ たので、ここでご紹介したい。

静かな走者？

まず一つ目は、 米 Raytheon 社が開発・販売 している Silent Runner (R) というソフトウェアである。このソフトは、例 えば社内の LAN 上を流れるネットワークのトラフィックや、ネットワークに 繋がれた各種ホストのオペレーティングシステムが出力するログを集中的に分 析して、異常な (例外的な) 活動を検知し、結果をグラフィカルに表示する機 能を持っている。

上記の機能が目指すところは、社内における機密情報の詐取や漏洩といった不 正行為の兆候を素早く察知して、情報資産に対する機密性を向上することにあ る。そのために Silent Runner は、ネットワークのセグメントごとに Collector と呼ぶ情報収集専用のマシンを設置してトラフィックを監視する。

もちろんこうした検知作業は、手作業でも不可能ではないが、ネットワークの 規模が大きくなればなるほど検証しなくてはならないデータ量も莫大になり、 現実的には異常検知は困難となる (経費がかさんでしまう)。こうした検知作 業を比較的容易に実施できるように支援するのが、このソフトウェアの目的で ある。

人狩り？

二つ目は、 米 Recourse Technologies 社が開発・販売 している ManHunt および ManTrap というソフトウェアである。ManTrap は、 現行の Signature 方式 (既知攻撃パターン情報に基づくパターンマッチング 的な不正パケット検出) ではなく、次世代の IDS (侵入検知ツール) 技術とも 言われる Protocol Anomaly (通常とは異なる例外的な動作) 検知技術を採用 していることと、複数箇所に設置された ManTrap 同士の間で、侵入経路のト レースが可能であることを特長としている。また ManHunt は、攻撃者を誘い 込むためのいわゆるハニーポット (おとり) システムであり、攻撃者の気をそ らすことで主システムを保護すると共に、事後に備えるために攻撃者の行動を 詳細に記録する機能を持つ。

もちろん外部セグメントに設置して、企業の Web サーバを守るといった使い 方も可能だが、内部 LAN の主たるセグメントごとに ManTrap と ManHunt を 設置して、内部不正行為への牽制効果を狙ったり、万が一の場合の異常検出と 侵入経路の探索や、局所化 (ハニーポットへの誘導) による被害予防といった 活用方法も考えられる。

内部犯行の抑制

特に日本においてはそうだが、これまでのセキュリティ対策は、外部の脅威に 対して大半の投資がなされてきた。しかしながら、一度に大量のあるいは壊滅 的な打撃を与えるようなセキュリティ事故の脅威は、本当は組織の内部に存在 するという事実に一部の人々は気付きつつある。そうした背景を受けて登場し てきたのが、上述したような製品群である。

これまで日本では終身雇用制が常識であった。そうした前提では、自分が一生 勤めるつもりの組織をわざわざ壊滅させるような行為に対しては、おのずと牽 制が働き、さほど問題にはならなかったかも知れない。しかし今後は人材の流 動化が盛んになり、多くの雇用者が転職する時代を迎えると、そうした牽制効 果はあまり期待できないように思う。

また、日本では内部犯行のリスクを論じることは、多くの組織においてタブー 視されてきた。加えて、米国などとは異なり、「おとり」的な行為に対する嫌 悪感もあるように思う。果たして、ご紹介したようなソフトウェアが日本の風 土に根付くかどうか、今後の動向を注視していきたいと思う。