ホスト型の侵入検知システム[OSSEC]
今月の気になるオープンソース情報(2016年10月号)
OSS研究室 倉田 隆規
今回はOSSECについて紹介します。
OSSECは、ホスト型の侵入検知システムです。
Linuxサーバ、MacOS、Windowsサーバといった多くのオペレーティングシステムで利用することができます。OSSECは、ファイル改ざんチェックやログ監視等のHIDSの一般的な機能に加えて、集中管理の機能を利用することができます。
OSSECは、監視設定等を保存して監視を制御するマネージャと、監視対象サーバにインストールして監視を実施するエージェントで構成されます。
マネージャとエージェントは以下の流れで監視を行います。
- OSSECエージェントが監視対象システム上で情報を収集してマネージャに転送
- マネージャはエージェントから転送された情報をもとに警告メールを通知
そのため、1台マネージャを用意し、エージェントを監視したいサーバにインストールすることで、複数台のサーバを1台のマネージャで管理することができます。
OSSECには、以下のメリットがあります。
攻撃への早急な対応
マネージャに設定した警告がエージェントから報告された時に、あらかじめ設定しておいたアクションを実施する、アクティブレスポンス機能を使うことができます。
例えば、SSHによる不正ログインのログを検知した時、そのサイトからのSSHを禁止するように設定することができます。管理者が警告を受けた後、サーバへログインし、不正ログインを禁止するといった作業時間を短縮することができ早急に対策をとることができます。
ネットワーク機器の監視
監視対象サーバにエージェントをインストールできない場合は、エージェントレスの監視も行うことができます。サーバを運用していく上では、システム上で様々な種類かつ数多くのサーバを使用している場合が多いと思います。
エージェントレスの機能を利用すれば、ファイアウォール、ルータなどのネットワーク機器を監視するために使用することができます。
ポリシーの統一
監視ポリシーを決めてOSSECマネージャに設定しておけば、監視対象サーバが増えても、すぐに決められたポリシーで監視を始めることができます。セキュアに保つ設定を全てのサーバに適用することができ、監視設定ミスや設定漏れをなくすことができて安心です。
OSSECは、不正侵入検知を行うIDSとしてだけではなく、不正侵入制御を行うIPSとして使用することもできます。そのため、IDS、IPSを別々に導入する必要がなく、OSSECの導入で安全なシステムになることが期待できます。また、複数台のサーバをOSSECサーバから監視でき、監視サーバの増減にも対応しやすいため、サーバの管理が容易になります。
デージーネットでは、専用のIPSやIDSを導入することが難しいクラウド環境でOSSECを使うことを提案しています。OSSECを導入することで、不正侵入に強いシステムを構築することができます。侵入検知システムには、OSSECを使ってみてはいかがでしょうか。