NIIと富士通、20Gbps高速大容量の通信環境での不審通信の検知に成功

　大学共同利用機関法人情報・システム研究機構国立情報学研究所（以下、NII）と富士通株式会社は29日、国立研究開発法人新エネルギー・産業技術総合開発機構（以下、NEDO）が管理法人を務める内閣府事業「戦略的イノベーション創造プログラム（SIP）／重要インフラ等におけるサイバーセキュリティの確保」において、20Gbps高速大容量の通信環境での不審通信の検知に成功したと発表した。

　近年開発が進む、攻撃シナリオのモデル化や人工知能（AI）技術を活用した最新の脅威検知技術は、長期にわたる通信ログを攻撃手口と関連付けて解析することで、脅威情報の見逃しを削減している。しかし、さまざまな形態で利用される高速大容量のネットワーク環境においては、解析処理に利用する内部データなどが膨大となり、これらの技術をそのまま適用することが困難となっている。

　富士通とNIIでは、NEDOが管理法人を務める内閣府事業において、ネットワーク上の大量のデータを収集・蓄積・解析することで不審な通信を抽出し、そのデータの特徴をもとに、ネットワークの監視や調査などを行う対応者へ、最適な対処法を推奨する技術の開発を推進している。

　今回、この事業において、富士通は通信の規則性と関係性に着目することで、汎用サーバーにおいて高速大容量の通信データを対象とする解析を行い、ネットワーク上の大量データから正規の通信特性を逸脱する踏み台特有の通信を識別する技術を開発した。

　技術の特徴としては、踏み台と外部の攻撃サーバー間で定期的に発生する通信の周期性に着目し、攻撃サーバーによる通信の特徴を捉えることで、正規利用の通信特性から逸脱する通信を検知する。通信の特徴を示す通信パターンを数値化し、富士通独自の数理モデルを用いて判別することで、汎用サーバーにおいても大量の通信データの解析を可能としている。また、規則的な通信を行う正規業務の通信に対しては、通信データの送受信相手や他機器への通信状況を指標化することで踏み台特有の通信と区別し、作業の漏れや解析の誤りを抑止できる。

　この技術の有効性を確認するため、開発技術と仮想ネットワークの通信性能を向上させる分析技術と、ネットワークの通信データを欠損なく収集・蓄積する技術を実装した汎用サーバーを、NIIの高速大容量のネットワーク環境に設置し、2018年10月から実証実験を実施。実証実験の結果、20Gbpsの大容量通信を行うネットワークにおいて、通信データを欠損することなく、踏み台特有の不審な通信を検知することに成功した。

　検知した通信は、正規業務の通信と同一の通信ポートを悪用したもので、大容量通信を行うネットワーク上では、従来のセキュリティ装置で検知されないものだったという。

　富士通では、解析結果に基づいてネットワーク管理者に対する対処方法の推奨を行う技術の開発を進め、2020年度に今回開発した技術と組み合わせたサービス化を目指す。NIIでは、今回の事業の成果を発展させ、サイバー攻撃発生時の被害状況を推定し、その影響範囲を極小化する手法の実現を目指す。