広域アプリケーションレイヤ情報漏洩観測システム
近年、クラウドコンピューティング*1の普及や、P2P*2などのファイル交換と共有のプロトコルの実装・実用化により、「ファイルが大規模かつ広域に分散する」という状況が、普通になってきました。それに伴い、不正ファイルの流通や機密ファイルの漏洩の国際化と広域化が問題になっています。また攻撃側と防御側の技術共有や連携の度合いにも格差があり、さらに現況を深刻化しています。
そこで、NICTセキュリティアーキテクチャ研究室では、広域にわたるアプリケーションレイヤ(WEB、P2P、SNS等)上の情報漏洩を引き起こす不正ファイルや機密ファイルの流通の観測と解析を行っています。また、国際化、大量化する情報漏洩に対して、広域化するネットワークトラフィックの観測、大規模観測データ処理による情報漏洩の検出と追跡システムの開発を行っています。技術課題としては、広域観測を可能にするプロトコル解析技術、大規模データ処理を行うクラスタ技術*3があり、これらの研究開発を行っています。さらに、これらの技術をNICTのテストベッド(JGN-X、StarBED3)上で他機関と連携することで観測システムの共有化やオープン化を目指しています。
現在の情報通信システムの状況と課題
クラウドコンピューティングを可能にした技術に、インターネットの広域化高速化に加えて、分散ファイル処理技術の成熟化やストレージ技術の急速な発展があります。しかしながら、これにより、情報漏洩が国際化、社会問題化しています。実際に、クラウドコンピューティングの普及やP2Pなどのファイル交換と共有のプロトコルの実装・実用化により、特定のアプリケーションを使わずとも、「ファイルが大規模かつ広域に分散する」という状況が、普通になってきました。また、最近の情報漏洩事件の特徴として、国際化、大規模化していることが挙げられます。
このような広域・大規模化するファイル共有ネットワーク(図1)上での不正ファイルや機密ファイルの流通を観測し、抑止するクラスタシステムや連携の仕組みの構築が急務になっています。
図1●広域・大規模化するファイル共有ネットワーク
広域アプリケーションレイヤ情報漏洩観測システムで、地球上に広域に存在するファイル共有コンピュータの位置を観測した結果。各地点のピンは、赤色、緑色、黄色の順に、各ノード(コンピュータ)の所有ファイル数などの規模を表しています。
広域アプリケーションレイヤ情報漏洩観測システム
NICTネットワークセキュリティ研究所では、広域化するファイル流通観測システムとそれによって得られる大規模データを処理するためのクラスタシステムの開発を行っています。問題に対処するためのシステムの開発目標は、プローブ(観測器)の仮想化*4と集約化、スケールアウト*5可能な分散処理化の2点になります。
その1:プローブの仮想化と集約化
広域アプリケーションレイヤ情報漏洩観測システムの設計において、観測系、データ格納処理系双方ともスケールアウトする必要があります。そのため、同システムのプローブを仮想化し、集約を行っています。これにより、1台の物理サーバに複数の仮想プローブを配置し、観測入出力を増加することができます。また1台のノードPCに機能を集約することも可能です。
図2●プローブの仮想化と集約化
Google等で採用されているシステム設計と同様に、観測ノードを増加する程に観測量が上がる(スケールアウトする)ようにデザインされています。
その2:スケールアウト可能な分散処理技術
広域アプリケーションレイヤ観測により得られるデータは、大規模かつ急激に増加するため、これを格納検索するシステムは、高速化、スケールアウト化に対応できる必要があります。セキュリティアーキテクチャ研究室では、分散KVS*6やHadoop*7などのデータ処理クラスタ用ファイルシステム等を用いた大規模データ処理システムを構築しています。
前述の2点を主眼に置いた広域アプリケーションレイヤ観測を、現在NICTのテストベッドであるJGN-XやStarBED3上で稼動させ、広域・大規模トラフィックデータ処理のためのクラスタ技術の向上を図っています。
観測システムの共有化とオープン化
今後の課題として、攻撃側と防御側の情報・技術共有と連携のギャップの問題があります。最近の情報漏洩事件を調べると明らかですが、攻撃側は、国際的な技術共有や迅速な連携のための仕組みを持っています。これに対し、防御側の情報共有と連携の仕組みが不足しています。そのため、攻撃側のスキルが急速に発達しているのに対して、防御側は個別に対応し後手に回っているのが現状です。このような状況に対応するために、ネットワークセキュリティ研究所では観測システムの共有化とオープン化を進めています。前述した観測ノードの仮想集約による観測システムの小型化や、観測情報のオープン化を行い、機関の公私や産学官を問わず様々な組織との間でシステムとその出力を共有することを目標にしています。
図3●観測技術とシステムの共有・オープン化
青で示されているポイントは、ファイルを比較的多数所有しているコンピュータの位置であり、左側に所有しているファイルの種別数を表示しています。
図3は、広域アプリケーションレイヤ情報漏洩観測システムの観測とデータ処理結果を表示したものです。今後一層の観測技術やデータの共有化を目指しています。また検索機能の一部公開なども検討しています。下記リンクを参考にしてください。
http://blink.nict.go.jp/
用語解説
*1 クラウドコンピューティング
インターネット上のサーバを利用して、ユーザに情報サービスやアプリケーションサービスを提供する形態のこと。
*2 PSP
ネットワークに接続されたコンピュータがいずれも相互に対等で、直接通信を行う方式。
*3 クラスタ技術
複数のサーバを束ねて単一のシステムとして運用するための技術。
*4 仮想化
あるOS上で、別のOSを動作させる技術。1台のサーバコンピュータをあたかも複数のコンピュータであるように動作させることも可能。
*5 スケールアウト
サーバの数を増やすことで、サーバ群全体の処理能力を向上させること。
*6 分散KVS(Key-Value Store)
データの保存・管理手法の1つで、任意の保存したいデータ(値: value)に対し、対応する一意の標識(key)を設定し、これらペアで
保存する方式。
*7 Hadoop
Apache Software Foundation(ASF)が開発・公開している、大量のデータを手軽に複数のマシンに分散して処理できるオープンソー
スのソフトウェア基盤(ミドルウェア)。
 |
安藤 類央(あんどう るお) ネットワークセキュリティ研究所 セキュリティアーキテクチャ研究室 主任研究員 大学院修了後、2006年、NICTに入所。情報通信セキュリティ、クラウドコンピューティング、アプリケーションレイヤネットワーク観測とセキュア化の研究等に従事。博士(政策・メディア)。 |
