富士通など、20Gbps高速大容量の通信環境で不審通信の検知に成功

11月29日、NEDOが管理法人を務める内閣府事業「戦略的イノベーション創造プログラム(SIP)/重要インフラ等におけるサイバーセキュリティの確保」において、富士通と国立情報学研究所(NII)は、20Gbps高速大容量のネットワークを対象に収集・蓄積・解析を組み合わせた技術の有用性を検証する実証実験を行い、従来技術では検知できなかった不審な通信を検知することに成功したと発表した。

近年、高度化が進むサイバー攻撃は既存のセキュリティ対策を巧妙にすり抜けることが多いため、侵入を検知した際にはすでにサイバー攻撃の踏み台とされていることも少なくないため、内在する脅威を、いかに素早く捕捉できるかが重要だという。

攻撃シナリオのモデル化や人工知能(AI)技術を活用した最新の検知技術は、長期にわたる通信ログを攻撃手口と関連付けて解析することで、脅威情報の見逃しを削減しているが、さまざまな形態で利用される高速大容量のネットワーク環境においては、解析処理に利用する内部データなどが膨大となり、これらの技術をそのまま適用することが困難だと指摘。

このような背景を踏まえ、3者はネットワーク上の大量のデータを収集・蓄積・解析することで不審な通信を抽出し、そのデータの特徴をもとにネットワークの監視や調査などを行う対応者に最適な対処法を推奨する技術の開発を推進している。

今回、富士通は通信の規則性と関係性に着目することで、汎用サーバにおいて高速大容量の通信データを対象とする解析を行い、ネットワーク上の大量データから正規の通信特性を逸脱する踏み台特有の通信を識別する技術を開発。同技術を用いて、NIIが構築した20Gbps高速大容量のネットワークを対象に収集・蓄積・解析を組み合わせた技術の有用性を検証する実証実験を行い、従来技術では検知できなかった不審な通信を検知することに成功した。

同技術の特徴として、踏み台と外部の攻撃サーバ間で定期的に発生する通信の周期性に着目し、攻撃サーバによる通信の特徴を捉えることで、正規利用の通信特性から逸脱する通信を検知。

通信の特徴を示す通信パターンを数値化し、同社独自の数理モデルを用いて判別することで、汎用サーバにおいても大量の通信データの解析を可能としているほか、規則的な通信を行う正規業務の通信に対しては通信データの送受信相手や他機器への通信状況を指標化することで踏み台特有の通信と区別し、作業の漏れや解析の誤りを抑止することを可能としている。

また、技術の有効性を確認するため、今回の開発技術と仮想ネットワークの通信性能を向上させる分析技術、およびネットワークの通信データを欠損なく収集・蓄積する技術を実装した汎用サーバをNIIのネットワーク環境に設置し、昨年10月から実証実験を実施。

実証実験の結果、20Gbpsの大容量通信を行うネットワークにおいて、通信データを欠損することなく、踏み台特有の不審な通信を検知することに成功し、検知した通信は正規業務の通信と同一の通信ポートを悪用したもので、大容量通信を行うネットワーク上では従来のセキュリティ装置で検知されないものだったという。

今後、同社は解析結果に基づきネットワーク管理者に対する対処方法の推奨を行う技術の開発を進め、2020年度に開発した技術と組み合わせたサービス化を目指す。加えて、NIIは成果を発展させ、サイバー攻撃発生時の被害状況を推定しその影響範囲を極小化する手法の実現を目指す方針だ。