 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
NECとラック、データマイニングを活用したサイバー攻撃の予兆検出技術 |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
今回の発表では、NECのデータマイニング技術とラックのセキュリティノウハウを融合した2つの新しい技術が紹介された。1つは、外部からの攻撃に備えるため、時系列データにおける急激な変化点を検出する「ChangeFinder」エンジンを利用した攻撃予兆検出技術。もう1つは、内部犯行に備えるため、ユーザーの行動履歴データからいつもと違う行動を異常なものとして検出する「AccessTracer」エンジンを利用した異常行動検出技術。 攻撃予兆検出技術では、ChangeFinderによって、Webサーバーのアクセスログから「ネットワークトラフィック量の急激な増加」といった異常なふるまいを抽出。データマイニングの観点から、セキュリティインシデントの予兆をリアルタイムで検出することが可能になるという。NEC、データマイニング技術センター長の山西健司氏は、「ハッカーやクラッカーの職業化に伴い、Webサイト特有の脆弱性をピンポイントに狙った攻撃が増えたとともに、攻撃の不可視化が進んでいる。この状況に対応するために重要なことは、わずかな変化に気づけるかどうかであり、その面でこの技術が非常に有効だと考えている」とした。 今回の発表に際して、両社は実際に、ChangeFinderを利用してSQLインジェクション攻撃を予兆する検証を行っている。その結果によると、実際に攻撃されたWebサーバーの3日間の344万行におよぶアクセスログから12点の変化点を検出。さらにSQLインジェクション発生時刻よりも22時間前の変化点を調べたところ、攻撃の予兆といえるデータの検出にも成功したという。その予兆とは、「攻撃を実施する前に攻撃者が行ったサーバー調査によるものだった」(ラック、取締役SNS事業本部長の西本逸郎氏)とのこと。 「しかし、SQLインジェクションの実行に22時間は長すぎるのではないか」という問いに対して西本氏は、「確かに、予兆から攻撃まで22時間というこのケースは例外的であり、実際は30分程度で調査からアタックまで実行されることが多い。だが、これまで膨大なアクセスログに埋もれていたセキュリティインシデントの痕跡を、こういう形でリアルタイムかつプロアクティブに見える化したことに意味がある。この情報を、例えばWebアプリケーションファイアウォールのシグネチャ作成の参考にするというように、今後の方向性としてはさまざまな可能性が考えられる」と述べた。その上で、「当社はすでに各種のセキュリティ検査・調査サービスを提供している。そうしたノウハウをいかして、この技術を利用した新しいサービスをNECとともにつくり出していきたい」とした。 具体的なサービス内容や時期に関しては未定だが、両社は、1年後くらいには何らかのサービスとして実際に提供していけるように取り組む意向。 ■ URL 日本電気株式会社 http://www.nec.co.jp/ 株式会社ラック http://www.lac.co.jp/ ニュースリリース http://www.nec.co.jp/press/ja/0612/2102.html
( 川島 弘之 )
|
