| 安心・安全の時代へ | ||||
| インターネットが社会インフラとして世間に認知されるようになってから、すでに数年以上が経過しました。政府・自治体による公共サービスや銀行業務など、生活に密着した手続きがオンライン化されたことで、インターネットは社会生活での便利なツールとして扱われています。一方で、近頃話題になっているウィニーを介したウィルスの蔓延や、サーバへの不正侵入、特定のウェブサイトへのサービス妨害など、ネットワーク犯罪に関する新聞記事を毎日のように目にするようになりました。 これまでのインターネットは 「ベストエフォート型サービス」 という言葉に代表されるように、「つながる」ことを最優先事項として設計・実装されてきました。しかし「つながる」ことが当たり前となった今、インターネットの開発は「安全なサービスを安心して利用できる」ことへと方針転換する時期を迎えています。 |
||||
| nicterプロジェクト | ||||
| このような状況の変化を受け、NICTインシデント対策グループではネットワークインシデント対策センター「nicter (Network Incident analysis Center for Tactical Emergency Response)」プロジェクトを立ち上げました。ここで言うネットワークインシデントとは、例えばサーバプログラムの不正使用、サービス妨害行為(DoS攻撃)、データの破壊・改ざん、意図しない情報の開示や、さらにそれらに至るための行為(スキャン行為など)を指します。これらの行為は悪意を持ったユーザが行う場合もあれば、マルウェア(ウィルスやワームなど)に感染したコンピュータが行う場合もあります。このようなネットワークに悪影響を及ぼすインシデントの発生を早期に検出し、迅速かつ実効的な対策を導き出すことがnicterの目的です。 | ||||
| nicter を支える技術 | ||||
| nicterプロジェクトの全体図を図1に示します。プロジェクトはマクロ解析フェーズ、およびその可視化処理部、ミクロ解析フェーズ、そしてインシデントハンドリングシステムによって構成されています。これらの機能について以下で簡単に説明します。 マクロ解析フェーズ ネットワークモニタリングフェーズではインターネット上で発生する様々なイベント(トラフィックデータや、ファイアウォールのログなど、ネットワーク上で起こった事象の記録)を定常的に収集します。マクロ解析フェーズでは、ここで得られたデータから振る舞い分析、変化点分析といったアルゴリズムを用いて、実時間でのインシデントの自動検出を行います。 可視化処理部 分析者による直感的なインシデントの検知を支援するため、イベントの可視化も必要となり、その処理を行います。その一例である図2は、ネットワークトラフィックを3次元空間にあてはめて表現したものです。ここでは、攻撃の前段階で行われるスキャンの挙動が特徴的な形状として表現されるため、インシデントの判定や各種の詳細分析を開始するためのきっかけを得ることができます。 ミクロ解析フェーズ ミクロ解析フェーズではマルウェア検体収集フェーズによって得られたウィルスやワームの検体に対して、逆アセンブルによるコード解析や仮想環境内での挙動分析を行い、行動パターンを抽出します。これらの情報をデータベースに蓄積するとともに、マルウェアへの耐性を持つワクチンの生成も行います。 インシデントハンドリングシステム(IHS) 上述したように、マクロ解析ではネットワーク上で発生しているインシデントの現象を捉えることができ、一方、ミクロ解析ではインシデントの原因と考えられるマルウェアの挙動を把握することができます。よって双方の解析結果を照合することで、発生中のインシデントの原因特定が可能となり、さらに、特定されたマルウェアに応じた対策を導き出すことも可能となります。 このような機能を持つインシデントハンドリングシステムでは、最終的にネットワークモニタリングによって観測された統計データ等の提示や、インシデントの原因と、その対策にまで踏み込んだ実効性の高いインシデントレポートを政府・官公庁やインターネットサービスプロバイダ(ISP)などの通信事業者および一般ユーザに向けて発行します。 |
||||
| これからの取り組み | ||||
| これまで継続してきた研究開発によって、上述の機能を備えたnicterのシステムは、一部整備途上部分を残しつつも稼働を開始しています。実際に、図1写真(右上)のようなプロトタイプのオペレーションルームを整備し、トラフィックの監視と分析手法の新規開発に取り組んでいます。また、このシステムの一部は2006年6月に幕張メッセにおいて開催されたネットワーク関連機器の展示会「Interop2006」において、試験的に運用されました。膨大なトラフィックが集中する同イベントのネットワークにおいて、インシデント検出と可視化処理が十分に機能することを証明したほか、来場者およびネットワーク運用者の大きな反響を得ました。 今年度は一部未実装のモジュール、とくにミクロ-マクロの相関分析機構やマルウェア検体収集機能などを開発し、nicterをシステム全体として有効に機能させるべく研究に取り組んで行く予定です。 
|
||||
| 暮らしと技術 Q:ネットワーク・インシデント、いわゆるセキュリティ・インシデントにおいて、現在、一般にどのような対策がとられているのでしょうか。特に不正アクセス等に対する現行対策の限界などについてうかがいます。 A:現在、官庁や情報通信技術関連の業界団体などによって、いくつかのネットワーク監視プロジェクトが立ち上げられています。しかし、これまでの研究ではインシデントを検知することはできても、その発生原因まで追跡することは困難であり、より詳細なイベント分析手法が必要とされてきました。そこでNICTが取組みを開始した「nicter」プロジェクトの重要性がクローズアップされています。広域ネットワークでのイベント分析結果とマルウェアのミクロ解析結果を照合することで、インシデントの発生原因を特定する技術を提案し、その研究開発に取り組んでいます。 |
||||
今月のキーワード【ベストエフォート型サービス(Best
Effort Service)】
|
