標的型攻撃などにより組織内にマルウエアが侵入するリスクが高まっている。侵入したマルウエアが外部との通信を開始したとき、その通信をセキュリティー機器で検知すれば被害を抑えやすい。
ただそうした機能を持つセキュリティー機器は非常に高価だ。安価で入手できて消費電力が小さく小型なコンピューター「ラズパイ」を使って構築できないだろうか。
ラズパイとは、英Raspberry Pi財団が開発している「Raspberry Pi」のこと。もともとは子供たちが気軽に勉強できるように開発されたが、子供に限らず大人にも広く利用されている。複数の種類があり、例えばクアッドコアCPU(Arm)と8GBメモリーを搭載した「Raspberry Pi 4 Model B(以下、Raspberry Pi 4B)」なら1万円ほどで購入できる。
今回の実験では、このRaspberry Pi 4Bを使って侵入検知装置を構築し、実際に検知できるかを確かめた。また、実際の業務に使うネットワーク環境と同じくらいの負荷をかけても検知できるかも確認した。なお、ラズパイを使って本格的なセキュリティー運用を始めようというつもりはない。ラズパイを使って侵入検知装置を構築することで、侵入検知機能の仕組みや設定などを知るきっかけになったり、試しに使ってみて異常な通信に気付けたりしたらよいだろう。
侵入検知システムを構築する
侵入検知システム(IDS、Intrusion Detection System)とはシステムやネットワークのイベントを監視するセキュリティー機器やサービスである。装置としては、米McAfeeの「McAfee Network Security Platform」や、IDS機能を搭載した統合型セキュリティー機器UTMなどがある。
IDSとして動作するソフトには、無料で利用できるオープンソースの「Suricata」や「Snort」などがある。今回は、マルチスレッド対応で並列処理が可能なSuricataを使った。なお、SuricataやSnortを実際に導入し運用している企業は多く、無料だからといって質が悪いということはない。
