セキュリティインシデントに強い組織づくり 標的型攻撃を再点検する：ITmedia エンタープライズ ソリューションセミナー レポート（3/5 ページ）

[ITmedia]

サイバー攻撃を可視化する先端研究と成果

　特別講演では国立研究開発法人 情報通信研究機構（NICT） サイバーセキュリティ研究室長の井上大介氏が、サイバー攻撃を可視化・分析する研究の最前線と対策への取り組みを紹介した。

国立研究開発法人 情報通信研究機構 ネットワークセキュリティ研究所 サイバーセキュリティ研究室長 井上大介氏

　目には見えないサイバー攻撃の実際を知るには、“鳥の目”“虫の目”で攻撃を観測する仕組みが必要となる。NICTでは観測システム「NICTER」「NIRVANA」「NIRVANA 改」、アラートシステムの「DAEDALUS」を開発してきた。

　“鳥の目”にあたるNICTERは、ダークネット（未使用のIPアドレス空間）を観測し、世界中から無数に発信される攻撃の通信を地図上へリアルタイムに表示し、ワーム感染などの大規模攻撃の可視化と分析に威力を発揮している。DAEDALUS は、NICTER の観測から組織内での攻撃発生を警告する仕組みであり、現在は500以上の地方自治体にアラートを送信するほか、DAEDALUSを商用化したサービスが一般企業にも提供されている。

　一方の“虫の目”にあたるのが、NIRVANAとNIRVANA 改だ。NIRVANAは元々、ライブネット（組織内などの有効なIPアドレス空間）を可視化してネットワークを容易に管理するための仕組みとして開発され、その技術も商用化されている。そしてNIRVANA 改は、NIRVANAをベースに標的型攻撃の統合分析プラットフォームとして開発されたものとなる。

　NIRVANA 改ではネットワーク上に設置されているファイアウォールやIDS/IPSといった機器に加え、エンドポイント機器のセキュリティソフトなどとも連携しながら、不正な通信の発生源をドリルダウンし、リアルタイムに調査・分析・遮断する機能を提供している。

　従来のセキュリティ対策はネットワークとエンドポイントで個別に講じられてきたが、それらの対策機器がもたらす脅威情報をバラバラに扱う状況ではインシデントへの対応が難しくなる。NIRVANA 改はそれらの情報を集約し、不正な通信の検知や詳細な分析のみならず、通信発生元の隔離といった対処までをスピーディーに実行することで、情報漏えいなど実被害の防止を目指しているとのことだ。NIRVANA 改についてもその基本機能の民間への技術移転が開始されている。

　2012年のロンドン五輪ではサイバー攻撃の脅威が大きくクローズアップされ、2020年の東京五輪でも大きな課題になると予想される。井上氏は、こうした研究開発の成果を日本のサイバーセキュリティに役立てたいと述べた。