データマイニングで、攻撃の予兆や不審行動を見逃さない――NECとラック

NECとラックは、データマイニングを用いて不正アクセスを検知するセキュリティ技術を開発した。

[國谷武史，ITmedia]

　日本電気とラックは12月21日、データマイニングを応用した新しいセキュリティ監視技術を開発したと発表した。外部からの不正アクセスや内部関係者による犯罪の抑止に有用だとしている。

　実証実験では、ラックが提供する実際に発生したサイバー事件のログデータを、NECのデータマイニング機能を使って解析し、データマイニングのセキュリティ分野への応用手法や有効性を検証した。2006年9月から、約1カ月間にわたり実施している。

SQLインジェクション予兆検出の実験概要

　まず、外部からの不正アクセス対策ではSQLインジェクションの予兆の検出と検出精度をテーマに、3日分のWebアクセスログ344万行を変化点検出エンジン「ChangeFinder」で解析した。ログの変化に応じてスコアリングを行い、スコアの高い変化点と時間軸を分析している。

検出実験の結果

　実験結果では12カ所の変化点を検出し、検出率は100％、誤報率は0.3％であった。処理時間は約2分（Pentium 4 3.4GHzのCPUの場合）となっている。検証に利用した事件のケースに当てはめると、この実験手法を用いることで攻撃発生の22時間前に予兆を把握でき、ほぼリアルタイムに検知を行えることが判明した。

　「実際は予兆から攻撃までの時間が短いが、それでもIDS／IPSなどよりも高い精度で予兆を検知でき、対処の時間を確保できる」（山西健司 NECデータマイニング技術センター長）という。

AccessTracerを用いて、普段とは異なる行動を検出する

　また内部犯罪の対策では、アプリケーションの行動履歴から異常な行動を効率的に検出することをテーマに、Windowsのイベントログ1万1000行を異常行動検出エンジン「AccessTracer」で解析した。実験データに現れるパターンを、あらかじめ学習させた通常の行動パターンと照合させて、異常行動と思われるログをスコアリングした。

異常行動と思われるログは、画面上に反転して表示される

　この結果、異常行動と思われるログの検出精度は100％で、スコア上位の1.5％には実際に不正行為が認められた。処理時間は7秒（同）であった。

　「調査に利用したデータは、社員が上司になりすます不正アクセス事件のものだが、膨大なログの中から不正行為の痕跡を短時間でほぼ正確に検出できた」（岩井博樹 ラック研究開発本部コンピュータセキュリティ研究所長）という。

西本逸郎 取締役 執行役員

　実証実験について、ラックの西本逸郎 取締役 執行役員は、「近年のサイバー犯罪は、狡猾的・見えない・標的を限定する、という3つの特徴がある。既存のセキュリティ技術では難しい未知の脅威への対処策として、今回の技術は非常に有効性が高い」と説明する。

山之内徹 インターネットシステム研究所長

　また、NECの山之内徹 インターネットシステム研究所長は、「内部統制ではログの保存が求められるが、ただ保存をするだけではなく、保存したログからデータマイニングを使って内外に潜む脅威に備えるという道が開ける」と話す。

　2社では今後、さらに技術的な検証を進め、1年後をメドに事業化の可能性を探りたいとしている。