国立研究開発法人情報通信研究機構
2016年6月7日
ポイント
- NIRVANA改がアラートの種類別統計を可能にするなど、アラート管理機能を強化
- NIRVANA改と国産機器とのシステム連携を拡大し、国産機器による自動防御が可能に
- NIRVANA改のユーザビリティ大幅向上とセキュリティ・オペレーションの一層の効率化
NICTのサイバーセキュリティ研究室は、標的型攻撃等のサイバー攻撃に対抗するために、サイバー攻撃統合分析プラットフォーム「NIRVANA改」(ニルヴァーナ・カイ)を開発してきましたが、このたび、そのアラート管理機能を更に強化し、アラートを自動分析して種類別統計を可能にするなど、ユーザビリティを大幅に向上させました。
また、NIRVANA改と国産機器とのシステム連携を拡大し、アラクサラネットワークス株式会社(代表取締役社長: 南川 育穂)のネットワーク機器及び株式会社PFU(代表取締役社長: 長谷川 清)のセキュリティ機器による自動防御が可能になり、これにより、NIRVANA改を用いたセキュリティ・オペレーションが一層効率化されることが期待できます。
NIRVANA改及び各機器とのシステム連携については、2016年6月8日(水)~10日(金)に幕張メッセで開催される「Interop Tokyo 2016」で動態展示を行います。
背景
現在、標的型攻撃に代表される特定組織を執拗に狙ったサイバー攻撃によって、ファイアウォールや侵入検知システム等、従来型の「境界防御」が突破される情報セキュリティインシデントが多発し、社会問題となっています。そのため、境界防御を補完する新たなセキュリティ対策として、複数種のセキュリティ機器を用いて組織を守る「多層防御」が重要視されるようになってきています。しかしながら、複数機器の運用や連携は人手に頼るところが多く、さらに、複数機器から出される膨大なアラートがセキュリティ・オペレーションを複雑化させる要因にもなっていました。
図1 バージョンアップしたNIRVANA改の可視化インターフェイス
中央の白色のパネルは組織内のネットワークセグメントに属するIPアドレスを、パネル外周の球体はセグメント外のネットワークを示す。[画像クリックで拡大表示]
今回の成果
NICTはこれまで、組織内ネットワークを流れる通信のリアルタイムな観測・分析や、各種セキュリティ機器からのアラート集約を実現するサイバー攻撃統合分析プラットフォームNIRVANA改を開発してきました。
今回のバージョンアップでは、複数機器から出されたアラートの種類別統計を自動化するなどアラート管理機能の大幅な強化を行うとともに、アラクサラネットワークス株式会社のネットワーク機器「AX3650S」及び株式会社PFUのセキュリティ機器「iNetSec Intra Wall」とNIRVANA改とのシステム連携を行い、これらの機器による自動防御が可能になりました。また、各種機能強化や新たなシステム連携に伴い、可視化機能も一新しました(図1参照)。
これにより、NIRVANA改のユーザビリティが大幅に向上し、複雑化するセキュリティ・オペレーションの簡易化・効率化が期待できます。
アラート管理機能の強化 ~見るアラートから触れるアラートに~
NIRVANA改のアラート管理機能を大幅に強化し、アラートの自動統計や、同種のアラート発生源(例えば、同種のマルウェアに感染しているホスト群)のリストアップ、各種パラメータによるアラートの検索やソート、アラートの原因である通信履歴の可視化等、各種新機能を開発しました(図2参照)。さらに、NIRVANA改の自動防御機能を用いた通信遮断等の対策実施(以下「アクチュエーション」)状況の可視化機能を開発しました(図3参照)。
図2 NIRVANA改のアラート管理画面
画面下部にアラート一覧やアラートの発生源となったIPアドレス一覧等を表示。左下部でIPアドレスを選択すると、そのIPアドレスに関連したアラートが右下部に表示される。左上の可視化画面には各アラートの原因となった通信履歴が連動表示される。
同種のアラートは自動的に統計処理され、検索やソートも可能。
右上部は各種設定画面であり、この例ではアラートレベルごとの配色設定を表示している。
[画像クリックで拡大表示]
同種のアラートは自動的に統計処理され、検索やソートも可能。
右上部は各種設定画面であり、この例ではアラートレベルごとの配色設定を表示している。
[画像クリックで拡大表示]
図3 アクチュエーションの可視化(ネットワーク完全遮断)
NIRVANA改の自動防御機能を用いて、セキュリティ機器やネットワーク機器に対して行われたアクチュエーションを表示。特定のネットワークセグメントをインターネットから完全に遮断した場合は、「封」のアイコンが表示される。[画像クリックで拡大表示]
国産機器とのシステム連携 ~Made in Japanの多層防御実現に向けて~
NIRVANA改のアクチュエータ(対策を実行する機器)として、アラクサラネットワークス株式会社(以下「アラクサラ」)のスイッチ「AX3650S」及び株式会社PFU(以下「PFU」)のセキュリティ機器「iNetSec Intra Wall」とのシステム連携を可能にしました。AX3650Sは組織のコアスイッチとして稼動、iNetSec Intra Wallはエッジスイッチの隣に設置し(図4参照)、NIRVANA改からのアクチュエーション命令を受け取って、通信の遮断やホストの隔離等を行います(図5、図6参照)。
図4 アラクサラ及びPFUとのシステム連携
アラクサラ製「AX3650S」は組織のコアスイッチとして稼動し、IPアドレスごとやセグメント全体の遮断等、柔軟なアクチュエーションが可能。PFU製「iNetSec Intra Wall」はエッジスイッチからミラーリングで組織の末端のトラフィックを監視するため、コアスイッチを通過しない組織内部の攻撃にも対応し、末端のホストをL2で隔離するアクチュエーションが可能。
[画像クリックで拡大表示]
[画像クリックで拡大表示]
図5 アラクサラ製「AX3650S」による自動防御
NIRVANA改のアクチュエーション命令に従い、AX3650Sがマルウェア感染ホストから外部の指令サーバへの通信を遮断している様子。バリア状のオブジェクトでアクチュエーション状況(あて先IPアドレスの遮断)を表現。
[画像クリックで拡大表示]
[画像クリックで拡大表示]
図6 PFU製「iNetSec Intra Wall」による自動防御
iNetSec Intra Wallが組織内でのマルウェアの感染拡大を検知し、特定のホストを隔離している様子。白色の球体がIPアドレスのパネルを包囲することで、アクチュエーション状況(送信元IPアドレスの隔離)を表現。
[画像クリックで拡大表示]
[画像クリックで拡大表示]
今後の展望
バージョンアップされたNIRVANA改及び各種機器とのシステム連携については、2016年6月8日(水)~10日(金)に幕張メッセで開催される「Interop Tokyo 2016」で動態展示を行います。
なお、今回バージョンアップされた機能は順次技術移転を行い、社会実装を進める予定です。
補足資料
参考
これまでの“NIRVANA改”関連の報道発表
- 2015年6月8日
「サイバー攻撃統合分析プラットフォーム“NIRVANA改”を機能強化!
~エンドホスト連携機能と自動防御機能を開発~」 - 2013年6月10日
「サイバー攻撃統合分析プラットフォーム“NIRVANA改”(ニルヴァーナ・カイ)を開発 」 - 2011年6月2日
「リアルトラフィックの可視化ツール “NIRVANA” を開発
~通信の「見える化」でネットワーク管理を簡単に~」
用語解説
企業や大学等、組織の情報通信ネットワークにおける情報漏えいやデータ改ざん、Webサービスの妨害などの情報セキュリティに関する事故を意味する。
本件に関する問い合わせ先
サイバーセキュリティ研究所
サイバーセキュリティ研究室
サイバーセキュリティ研究室
井上 大介、鈴木 未央
Tel: 042-327-6225
E-mail: 
広報
広報部 報道室
廣田 幸子
Tel: 042-327-6923
Fax: 042-327-7587
E-mail: 
