NECおよびセキュリティサービスベンダーのラックは、大量のデータを解析するデータマイニングを用いたセキュリティ監視技術を開発し、実証実験の成功を発表した。
データマイニング技術をセキュリティ分野に応用
企業のシステムは外部からだけでなく、内部からもさまざまな脅威にさらされている。これらの脅威は年々高度化しており、既存の対策だけでは十分でなかったり、あるいは異常を発見できてもすでに手遅れということも多い。
NECとセキュリティサービスベンダーのラックは、大量のデータからパターンや相関性を抽出する「データマイニング」技術を用いて、セキュリティ監視サービスを行なう「セキュリティ・マイニング」技術を開発した。これはNECのデータマイニング技術と、ラックのセキュリティに関するノウハウを組み合わせたものだ。
NECのデータマイニング技術とラックのセキュリティノウハウの組み合わせにより、「セキュリティマイニング」が実現する
SQLインジェクションの予兆を検出する“ChangeFinder”
データベースを用いた動的なWebアプリケーションシステムに対する外部からの攻撃として、データ入力時にデータベースを操作する言語(SQL)を混入させる「SQLインジェクション」と呼ばれるものがある。これは従来のIDS(侵入検知システム)では検出が困難と言われている。
NECデータマイニング技術センター長の山西健司氏によれば、NECは用途に応じたいくつかのデータマイニングエンジンを持っており、その中から時系列データの急激な変化を検知する“ChangeFinder”を用いたSQLインジェクション攻撃の予兆検出を試みたという。実際に攻撃が行なわれた企業のWebサーバのログファイルを用いて検証を行なったところ、実際に攻撃が成功してデータの漏出が起きる22時間前に攻撃の開始(サーバに対する試験的なアクセス)を検知できたという。実際に攻撃の行なわれた3日間のログファイルは344万行に及ぶが、処理に要した時間は2分程度(Pentium 4搭載機)で済んだそうだ。
左から、NEC インターネットシステム研究所長 山之内徹氏、NEC データマイニング技術センター長 山西健司氏
膨大なログを効率良く絞り込む“AccessTracer”
内部の人間による犯罪行為の検出は、ログを解析することで行なわれているが、きわめて膨大で難解なログの解析は手間と時間がかかるため、実際に犯罪が行なわれた時に速やかに検出するのは困難であった。
山西氏は内部犯罪のログ分析に、異常行動の検出を行なう“AccessTracer”を用いたことを説明した。AccessTracerはユーザーの行動履歴からパターンや「クセ」を学習し、いつもと違う行動を検出すると高い「異常スコア」として報告するものだ。こちらについても、実際に内部犯罪が発生した事例でWindowsのイベントログを分析したところ、100%の精度ですべての不正行為を確認できたという。1万1000行のログを処理するのに要した時間は、7秒(Pentium 4搭載機)程度とこちらもきわめて短時間である。
ラックの取締役SNS事業本部長の西本逸郎氏は、現在のWebサイトに対する攻撃の傾向を「3つのS」、すなわち“Shifty(狡猾な)”、“Stealth(ステルス、見つけにくい)”、“Sniper(スナイパー、特定のサイトをターゲット)”と表現する。そしてWebアプリケーションの脆弱性を完全にゼロにすることはできないうえに、大規模なWebサイトの複雑度はもう管理限界に達していると指摘する。このような状況に対して、全体を鳥瞰するためのデータマイニング技術の活用が有効であると訴えた。
ラック 取締役SNS事業本部長 西本逸郎氏
今回発表された技術の製品化やサービスとしての提供日程は未定だが、NECのインターネットシステム研究所長の山之内徹氏は「1年後をめざして製品化を実現したい」と語った。
- ■関連サイト
- 日本電気株式会社
- http://www.nec.co.jp/
- 株式会社ラック
- http://www.lac.co.jp/
