情報通信研究機構(NICT)は6月8日、サイバー攻撃分析プラットフォーム「NIRVANA 改」の機能強化を発表した。PCなどエンドホスト系の対策機能を統合した。10日に千葉・幕張メッセで開幕する「Interop Tokyo 2015」で公開される。
NIRVANA 改は、ネットワーク監視システムの「NIRVANA」をベースにサイバー攻撃の警告機能を実装して2013年に開発された。今回の機能強化ではセキュリティ企業のFFRIおよびディアイティの協力を得て、「エンドホスト連携機能」「自動防御機能」の2つの新機能を搭載する。
エンドホスト情報と自動防御状況の可視化イメージ。中央のモノリスにエンドホストの情報一覧を、周回軌道にエンドホスト内のプロセス群を表示(青:正常プロセス、橙:マルウェアプロセス)、インターネットを表す最外縁の球体表面に自動防御状況を赤色の六角形で表示する(NICT資料)
「エンドホスト連携機能」ではFFRIのセキュリティソフト「FFR yarai」と連動し、PCなどのエンドホストの機器から情報を収集するほか、マルウェアプロセスを特定してプロセスの親子関係や通信履歴などの状況をリアルタイムに導き出す。これによってエンドホストにおけるマルウェア検出の感度を一斉変更するといった集中制御が可能になるという。
「自動防御機能」ではマルウェアが検知されたなどの場合に、事前に設定したルールに従ってファイアウォールやスイッチなどのネットワーク機器を自動的に制御し、感染端末をネットワークから隔離したり、異常な通信を遮断したりできる。また「エンドホスト連携機能」と組み合わせて、エンドホストの特定のプロセスを停止させるといった、きめ細かい制御も行えるという。
NICTによれば、従来はネットワーク系とエンドホスト系のセキュリティ対策を別々に運用するケースが多く、ネットワーク系で不審な通信を検知しても、発信源となるエンドホスト系の調査に時間がかかるなどの課題があった。機能強化したNIRVANA 改はこうした対応に要する時間の短縮や対策作業の負担を軽減することで、情報漏えいなどの被害抑止効果が期待される。
NICTでは6月中に、NIRVANA 改の技術移転を予定する。
関連記事
- 外から内からのサイバー攻撃を見える化、情報通信研究機構の取り組み
サイバー攻撃の動きは専門家でなければなかなか把握しにくいもの。ガートナー主催のセキュリティ会議では情報通信研究機構が、サイバー攻撃を可視化する研究や民間での活用について説明した。 - NICT、サイバー攻撃監視機能を備えた「NIRVANA 改」を開発
大規模ネットワーク監視システム「NIRVANA」に、サイバー攻撃の警告を実装した「NIRVANA 改」をInteropで公開する。 - 会場にマルウェア感染マシン? 不審な通信を見つけるDAEDALUS
情報通信研究機構が対サイバー攻撃アラートシステム「DAEDALUS」をInteropで披露した。会場内のコンピュータからとみられる不審な通信を検知していた……。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.