OSSECとは

OSSECとは、ホスト型IDS（Intrusion Detection System）の機能を持ったソフトウェアである。オープンソースソフトウェアとして公開されている。ログ解析と整合性チェック、Windowsレジストリの監視、ルートキットの検出、リアルタイム警告、アクティブレスポンスの機能を有する。OSSECを利用すると、ファイル改ざんや異常なログを素早く検知することができる。これにより、侵入攻撃を迅速に発見できるようになり、情報漏洩等の被害の拡大を防ぐことができるようになる。

OSSECは、Linux, OpenBSD, FreeBSD, MacOS, Solaris, Windowsを含む様々なオペレーティングシステム上で動作する。

OSSECの構成要素

OSSSECは、マネージャ、エージェントで構成される。

• マネージャ
  

  OSSECの中心となるコンポーネント。ファイル整合性データベース、ログ、イベント、システム監査項目等を保有する。また、監視ルールやログ解析等の設定情報もマネージャが保有する。

• エージェント
  

  OSSECの監視対象機システムにインストールされるコンポーネント。エージェントが監視対象システムの情報を収集し、マネージャに情報を転送する。マネージャは、その情報を分析する。OSSECエージェントはセキュリティを確保するため、特権レベルの低いユーザで実行され、システムから隔離された領域（chroot jail内）で実行される。

• エージェントレス
  

  エージェントをインストールすることができないシステムを監視するためにエージェントレスがサポートされている。エージェントレスは、監視対象システムにSSHで接続して監視を行う。ファイル整合性チェックを行うことができる。

OSSECの機能

侵入の検知

OSSECは以下の検知を行うことができる。

• ファイル改ざんのチェック
  

  定期的にファイルの整合性チェックを行い、差分を検知する。

• 異常ログの検知
  

  ログを分析し、エラー等の異常なログを検知する。

• ルートキットの検出
  

  ルートキットを検索する。

ファイル改ざんや異常ログを検知した場合、指定したメールアドレスに警告メールが送信されるので、オペレータがはいち早く異常を発見することができる。

アクティブレスポンス

ファイル改ざん等の異常なイベントを検知した時に、指定したスクリプトを起動する機能。アクティブレスポンスを利用すれば、不正な接続を試みている送信元からの通信を、動的に遮断してしまうよな仕組みを導入することが可能となる。

OSSECの用途

侵入攻撃によるファイル改ざんや情報漏洩は大きい問題に発展することがあり、重要な情報を保有するサーバではその対策が必須となっている。このような場合にIDSの導入が有効である。また、対象サーバを数多く保有する場合、すべてのサーバについてポリシーに沿った侵入検知を行う必要がある。

OSSECを利用すれば、侵入検知のポリシーや設定を集中管理することができ、便利で安全な運用を行うことができる。

デージーネットの取り組み

デージーネットでは、システムの規模や構成に合わせたHIDSの提案を行っている。例えば、侵入検知を行うサーバが1台しかない場合は単体で動作するaideを、侵入検知を行うサーバが複数台存在し、集中管理を行う場合はOSSECを使用することを提案している。