TOPサーバ構築・運用【ネットワーク教習所】未来が近づく、新世代ネットワーク!> 第5回:今この瞬間の攻撃を分析・可視化するnicter (1/3)

【ネットワーク教習所】未来が近づく、新世代ネットワーク!

【ネットワーク教習所】
未来が近づく、新世代ネットワーク!

第5回:今この瞬間の攻撃を分析・可視化するnicter

著者:情報通信研究機構 衛藤 将史

公開日:2008/03/31(月)

インターネットのセキュリティ事情

本連載では、これまでに新世代ネットワークの要となる技術として、新世代のネットワークアーキテクチャから無線技術、衛星通信技術を取り上げてきた。最終回となる第5回では、インターネットの現状を振り返り、そのセキュリティ上の問題点を指摘するとともに、最新の対策技術を紹介する。ここで取り上げる各技術とその設計思想は、新世代ネットワークにおける安心・安全を実現する上でも、必要不可欠となる。

インターネットが社会インフラとして世間に認知されるようになってから、すでに数年が経過している。その間に、政府・自治体による公共サービスや銀行業務など、生活に密着した手続きがオンライン化されたことで、インターネットは社会生活に欠かせないものとなった。一方で、近年話題になっているP2Pソフトウェアを介したウイルスの蔓延や、サーバへの不正侵入、特定のWebサイトへのサービス妨害行為(DoS攻撃)など、インターネットを悪用した犯罪が社会問題となっている。

現在のインターネットは「ベストエフォート型サービス」という言葉に代表されるように、「つながる」ことを最優先事項として設計・実装されてきた。しかし「つながる」ことが当たり前となった今、インターネット開発は「安全なサービスを安心して利用できる」ことへと方針を転換すべき時期に来ている。

このような社会状況の変化を受けて情報通信研究機構(NICT)では、ネットワークインシデント対策センター「nicter(Network Incident analysis Center for Tactical Emergency Response)」プロジェクトを立ち上げ、包括的なセキュリティ対策手法の確立を目指している。

なお、ここで言うネットワークインシデントとは、例えばサーバプログラムの不正使用、サービス妨害行為(DoS 攻撃)、データの破壊・改ざん、意図しない情報の開示や、さらにそれらに至るための行為(スキャン行為など)を意味する。これらの行為は悪意のあるユーザが行う場合もあれば、マルウェア(ウイルスやワーム、ボットなど)に感染したコンピュータが行う場合もある。このような、ネットワークに悪影響を及ぼすインシデントの発生を早期に検出し、迅速かつ実効的な対策を導き出すことがnicterの目的である。

図1:nicterシステムの全体像
(画像をクリックすると別ウィンドウに拡大図を表示します)

3つのサブシステムからなるnicter

nicterは、広域のネットワークモニタリングによって収集したイベントを解析し、その中からインシデントを検出する「マクロ解析システム」と、マルウェアの検体を収集・解析して、それらの挙動を抽出する「ミクロ解析システム」という2つの解析パスを持つ(図1)。これら2つのサブシステムにおける解析結果は、相関分析システムにおいてその相関性が分析され、インシデントの「現象」と「原因」を対応付けることが可能となる。

難しい表現となったが、より簡単に言えば、マクロ解析システムではネットワーク上で発生しているインシデントの現象を捉えることができ、一方のミクロ解析システムではインシデントの原因と考えられるマルウェアの挙動を把握できるということだ。

よって双方の解析結果を突き合わせることで、発生中のインシデントの原因特定が可能となり、さらに、原因となったマルウェアに応じた対策導出が可能となるわけである。その結果、ネットワークモニタリングによって観測された統計データなどを提示するだけでなく、インシデントの原因とその対策にまで踏み込んだ実効性・即時性の高いインシデントレポートを、政府・官公庁や一般ユーザに向けて発行することができる。

マクロ/ミクロ解析システムと相関分析システムの解析結果は、nicterの分析者に対してタスクリストとして逐次提示される。分析者はワークフローに沿って各インシデントの候補に対してインシデントの判定を行い、最終的にインシデントレポートの発行を行う。これら分析者による一連の処理はインシデントハンドリングシステム(IHS)と呼ばれる統合的なGUIフレームワークの上で行われる。

次にnicterの根幹部分である、マクロ解析、ミクロ解析、相関分析の3つのサブシステムについて解説しよう。 次のページ




独立行政法人 情報通信研究機構  衛藤 将史
著者プロフィール
独立行政法人 情報通信研究機構 衛藤 将史
2005年、情報通信研究機構入所。以来、ネットワーク運用管理技術、アプリケーショントレースバック技術、nicterプロジェクトなど、情報通信セキュリティ技術の研究開発に従事。nicterプロジェクトでは主にスペクトラム解析を応用したマルウェアの類似性検証手法の研究に取り組む。童顔。


INDEX
第5回:今この瞬間の攻撃を分析・可視化するnicter
インターネットのセキュリティ事情
  マクロ解析システム
  衝撃!これがボットネットだ!