NECとラック、データマイニングを活用した新しい情報セキュリティ監視技術を開発 | RBB TODAY

NECとラック、データマイニングを活用した新しい情報セキュリティ監視技術を開発

エンタープライズ その他

NEC データマイニング技術センター長 山西健司氏
  • NEC データマイニング技術センター長 山西健司氏
  • ChangeFinderを利用した攻撃予兆検出のデモ。不正なSQLを入力すると、即座にグラフ上に変化点が表示された
  • AccessTracerを利用したログ解析のデモ。異常性スコアの高い順にログがソートして表示される
  • ラック コンピュータセキュリティ研究所長 岩井博樹氏
  • ラック 取締役SNS事業本部長 西本逸郎氏
  • NEC インターネットシステム研究所長 山之内徹氏
 日本電気とラックは21日、データマイニング技術の適用により、サーバへの攻撃を予測的に監視できる高度な情報セキュリティー監視サービスを実現する技術や、コンピュータ上の不審行動分析のための作業効率を改善する技術を開発し、実証実験によってその効果が確認されたことを発表した。

 発表会場ではNECデータマイニング技術センター長、山西健司氏による実験結果のプレゼンテーションが行われた。

 まず一つめの実証実験は、NECが開発した「ChangeFinder」と呼ばれる変化点検出エンジンを利用し、データベースに対してSQLインジェクション(*注1)などの攻撃が実際にあった3日間344万行のWebサーバのアクセスログから、攻撃の予兆を検出するというもの。ChangeFinderはアクセスログからサーバへのアクセス量を監視し、急激な変化があった場合にアラートを出すという機能をもっている。実験の結果12点の変化点を検出し、そのうちのいくつかは攻撃の予兆であったということが実証された。 

 デモが行われたのち、山西氏は「ChangeFinderは、サーバに対するアクセスの急激な変化を関知するという仕組みのため、FirewallやIDS(侵入検知システム)などの監視では検出できなかった未知の攻撃の予兆や、一見、通常の通信のように見える回避行動などを検知することが可能になるほか、障害検知にも利用可能」と語った。

 もう一つの実証実験は、NECが開発した「AccessTracer」と呼ばれる異常行動検出エンジンを利用し、不正なファイル取得や送信など情報漏洩に関わるPC操作が行われた事例のWindowsイベントログ11,000行から、不正行為を検知するというもの。

 AccessTracerはイベントログからPCの行動履歴を動的に分析・学習し、いつもと違う行動パターンが検出されると、異常性としてスコアリングする。実験の結果、異常性スコア上位1.5%中に全不正行為を確認できた。なお、全ログデータの分析にかかった時間は7秒。

 ここでもデモを行ったラックコンピュータセキュリティ研究所長岩井博樹氏によると、「AccessTracerを使うことによって、いままでランダム目視に頼ってきた異常行動の特定工数を1/100に削減できる」という。

 NECのデータマイニング技術と、ラックのセキュリティノウハウを融合させることにより実現されたこれらの技術は今後どのように活用されていくのだろうか? ラック取締役SNS事業本部長の西本逸郎氏は「今回開発された技術は調査活動やコンサルティングですぐにでも活用していきたい。また、弊社のセキュリティー監視プログラムにもセンサーの1つとして取り込んでいくつもりだ」と語った。

 また、NECインターネットシステム研究所長の山之内徹氏は「1年以内程度を目標とし、社内事業への提供を検討していきたい」と語った。
《田口和裕》

特集

page top