今日も９時前に会社に到着。職場に一番乗り、かと思えば庶務の子が先に来ていた。さっそく昨日の夜に調べかけていたことの続きをする。

しかし、なかなかはかどらない。と言うか、情報が少ない。英語の文献を読みあさって、なんとか１つ問題をつぶした。しかし、まだまだ何１０個も同じような問題がある。

何をやっているかというと、IDSが検知する不正アクセスのalertがあまりにも多く、結局ちゃんと調べきれてないという問題に直面している。それを何とかしようとしているのだ。

おそらくほとんどの攻撃が失敗しているか、フォールスポジティブ（誤検知）なのだろうが、数が多くて調べきれない。まずは誤検知なのかどうか判断しようとしても、alertを発生したSignatureのruleの文法がわからない。今日やっと英語のサイトで見つけたよ。

その前に、そもそもDMZ上に100台近くのサーバがあるのだ。その中で我々情シス部門が管理しているサーバは一部で、あとは各研究室（うちは研究所なのである）が自分たちの研究成果を発信するためにDMZに立てたWebサーバなのである。

もちろんDMZにサーバを設置するときには我々情シス部門が徹底的にセキュリティチェックをし、外部の監査会社にもセキュリティホールがないかチェックしてもらう。

しかし、その後の運用は基本的に各研究室にゆだねられているので、OSやアプリケーションのセキュリティパッチを当ててなかったり低いバージョンのまま使っていたりするサーバも少なくない。

だがそれでは困るのだ。困るのだが我々が全部面倒を見きれないのだ。現場のシステム管理者も、研究の合間にサーバ管理をやっているし、必ずしもシステムに詳しいとは限らない。サーバを構築した研究者が去って、残った人が名前だけの管理者になってたりする。

そもそもこの状況自体が問題なんだよなあ。うちが管理しているサーバに対するアタックは被害を受けてないか調べられるが、それ以外のサーバへのアタックは、それぞれの研究室のサーバ管理者に「こういうalertが出たので、不正アクセスなどの痕跡がないか調べて欲しい」とか投げるべきなのだろうが、そういう運用になってない。

他のメンバーに相談してみようか。それと同時に、フォールスポジティブを減らさなくては…。これはIDSのチューニングが必要だ。昨日はそのチューニングの資料を漁っていたのだった。

とりあえず、明日から３連休。会社から「FreeBSDビギナーズバイブル」を借りてきたので、じっくり読むことにしよう。

昨日は仕事に没頭していて、気がつくと定時を過ぎていて、３０分残業。悪い癖である。

しかし、帰ってからも、やりかけたこと、というか調べている最中のものが気になって、女子バレーを観戦したあと、ついついPCで調べ始めて、VPNで会社のLANに接続していろいろ試してみたりして、気がつくと２２時を過ぎていた。

それから風呂に入ったあと、おとなしく寝ればいいものを、続きが気になって、結局２３時過ぎまでPCにへばりついていた。

家に帰っても仕事のことが頭から離れない。どうすればすぱっと切り替えられるのやら。