20Gbps高速大容量の通信環境において不審通信の検知に成功【NEDO、富士通、NII】
テレコム 無料2020年度に同技術を利用したサービスの実用化を目指す
NEDOは11月29日、同機構が管理法人を務める内閣府事業「戦略的イノベーション創造プログラム(SIP)/重要インフラ等におけるサイバーセキュリティの確保」において、富士通とNIIが20Gbps高速大容量のネットワークを対象に収集・蓄積・解析を組み合わせた技術の有用性を検証する実証実験を行い、従来技術では検知できなかった不審な通信を検知することに成功したと発表した。
同実証実験にて有用性を検証した技術は、高速大容量の通信データを対象として通信の規則性や関係性に基づいた解析を行い、全体から乖離している通信挙動を特定することで、不審な通信を検知する技術を新たに富士通が開発し、さらにネットワーク上の大量の通信データを収集・蓄積する技術などを組み合わせることで実現した。
富士通は「今後、解析結果に基づきネットワーク管理者向けに対処方法を推奨する技術の開発を進め、2020年度に、今回開発した技術と組み合わせたサービスの実用化を目指す」としている。また、NIIは「本事業の成果を発展させ、サイバー攻撃発生時の被害状況を推定しその影響範囲を極小化する手法の実現を目指す」としている。
概要
近年、高度化が進むサイバー攻撃は既存のセキュリティ対策を巧妙にすり抜けることが多いため、侵入を検知した際にはすでにサイバー攻撃の踏み台とされていることも少なくない。このため、内在する脅威を、いかに素早く捕捉できるかが重要となる。
近年開発が進む、攻撃シナリオのモデル化やAI技術を活用した最新の検知技術は、長期にわたる通信ログを攻撃手口と関連付けて解析することで、脅威情報の見逃しを削減している。しかしながら、さまざまな形態で利用される高速大容量のネットワーク環境においては、解析処理に利用する内部データなどが膨大となり、これらの技術をそのまま適用することが困難だ。
このような背景のもと、NEDOが管理法人を務める「戦略的イノベーション創造プログラム(SIP)/重要インフラ等におけるサイバーセキュリティの確保」において、富士通とNIIはネットワーク上の大量のデータを収集・蓄積・解析することで不審な通信を抽出し、そのデータの特長をもとに、ネットワークの監視や調査などを行う対応者へ、最適な対処法を推奨する技術の開発を推進している。
今回、同事業において、富士通は通信の規則性と関係性に着目することで、汎用サーバにおいて高速大容量の通信データを対象とする解析を行い、ネットワーク上の大量データから正規の通信特性を逸脱する踏み台特有の通信を識別する技術を開発した。この技術を用いて、NIIが構築した20Gbps高速大容量のネットワークを対象に収集・蓄積・解析を組み合わせた技術の有用性を検証する実証実験を行い、従来技術では検知できなかった不審な通信を検知することに成功したという。
同事業の概要図
今回の開発技術・成果
多種多様な大量の通信データを解析し、踏み台特有の通信を検知する技術を開発
外部からのサイバー攻撃においては、機密情報の探索や侵入経路の拡大など遠隔操作の踏み台として、組織内ネットワークの機器が悪用されている。この踏み台となった機器は、正規業務の通信と攻撃操作の通信を同時に行っていることになる。
同技術の特徴は、踏み台と外部の攻撃サーバ間で定期的に発生する通信の周期性に着目し、攻撃サーバによる通信の特徴を捉えることで、正規利用の通信特性から逸脱する通信を検知する。この技術では、通信の特徴を示す通信パターンを数値化し、富士通独自の数理モデルを用いて判別することで、汎用サーバにおいても大量の通信データの解析を可能としている。また、規則的な通信を行う正規業務の通信に対しては、通信データの送受信相手や他機器への通信状況を指標化することで踏み台特有の通信と区別し、作業の漏れや解析の誤りを抑止することが可能だ。
NIIの実証実験ネットワーク環境において従来検知が困難な踏み台特有の通信を検知
技術の有効性を確認するため、今回の開発技術と仮想ネットワークの通信性能を向上させる分析技術、およびネットワークの通信データを欠損なく収集・蓄積する技術を実装した汎用サーバを、NIIの高速大容量のネットワーク環境に設置し、2018年10月から実証実験を実施した。実証実験の結果、20Gbpsの大容量通信を行うネットワークにおいて、通信データを欠損することなく、踏み台特有の不審な通信を検知することに成功した。検知した通信は、正規業務の通信と同一の通信ポートを悪用したもので、大容量通信を行うネットワーク上では、従来のセキュリティ装置で検知されないものだった。
今後の予定
富士通は「本事業において、解析結果に基づきネットワーク管理者に対する対処方法の推奨を行う技術の開発を進め、2020年度に、今回開発した技術と組み合わせたサービス化を目指す」としている。また、NIIは「本事業の成果を発展させ、サイバー攻撃発生時の被害状況を推定しその影響範囲を極小化する手法の実現を目指す」としている。
