NICTがNIRVANA 改を強化、サイバー攻撃の“見える化”向上

PCなどエンドホスト系におけるセキュリティ対策を統合し、防御策を自動的に実行できるようになる。

[ITmedia]

　情報通信研究機構（NICT）は6月8日、サイバー攻撃分析プラットフォーム「NIRVANA 改」の機能強化を発表した。PCなどエンドホスト系の対策機能を統合した。10日に千葉・幕張メッセで開幕する「Interop Tokyo 2015」で公開される。

　NIRVANA 改は、ネットワーク監視システムの「NIRVANA」をベースにサイバー攻撃の警告機能を実装して2013年に開発された。今回の機能強化ではセキュリティ企業のFFRIおよびディアイティの協力を得て、「エンドホスト連携機能」「自動防御機能」の2つの新機能を搭載する。

エンドホスト情報と自動防御状況の可視化イメージ。中央のモノリスにエンドホストの情報一覧を、周回軌道にエンドホスト内のプロセス群を表示（青：正常プロセス、橙：マルウェアプロセス）、インターネットを表す最外縁の球体表面に自動防御状況を赤色の六角形で表示する（NICT資料）

　「エンドホスト連携機能」ではFFRIのセキュリティソフト「FFR yarai」と連動し、PCなどのエンドホストの機器から情報を収集するほか、マルウェアプロセスを特定してプロセスの親子関係や通信履歴などの状況をリアルタイムに導き出す。これによってエンドホストにおけるマルウェア検出の感度を一斉変更するといった集中制御が可能になるという。

　「自動防御機能」ではマルウェアが検知されたなどの場合に、事前に設定したルールに従ってファイアウォールやスイッチなどのネットワーク機器を自動的に制御し、感染端末をネットワークから隔離したり、異常な通信を遮断したりできる。また「エンドホスト連携機能」と組み合わせて、エンドホストの特定のプロセスを停止させるといった、きめ細かい制御も行えるという。

エンドホスト連携機能（左）と自動防御機能（右）

　NICTによれば、従来はネットワーク系とエンドホスト系のセキュリティ対策を別々に運用するケースが多く、ネットワーク系で不審な通信を検知しても、発信源となるエンドホスト系の調査に時間がかかるなどの課題があった。機能強化したNIRVANA 改はこうした対応に要する時間の短縮や対策作業の負担を軽減することで、情報漏えいなどの被害抑止効果が期待される。

　NICTでは6月中に、NIRVANA 改の技術移転を予定する。