NECとラック、データマイニングを活用した新しい情報セキュリティ監視技術を開発
エンタープライズ
その他
注目記事
/
発表会場ではNECデータマイニング技術センター長、山西健司氏による実験結果のプレゼンテーションが行われた。
まず一つめの実証実験は、NECが開発した「ChangeFinder」と呼ばれる変化点検出エンジンを利用し、データベースに対してSQLインジェクション(*注1)などの攻撃が実際にあった3日間344万行のWebサーバのアクセスログから、攻撃の予兆を検出するというもの。ChangeFinderはアクセスログからサーバへのアクセス量を監視し、急激な変化があった場合にアラートを出すという機能をもっている。実験の結果12点の変化点を検出し、そのうちのいくつかは攻撃の予兆であったということが実証された。
デモが行われたのち、山西氏は「ChangeFinderは、サーバに対するアクセスの急激な変化を関知するという仕組みのため、FirewallやIDS(侵入検知システム)などの監視では検出できなかった未知の攻撃の予兆や、一見、通常の通信のように見える回避行動などを検知することが可能になるほか、障害検知にも利用可能」と語った。
もう一つの実証実験は、NECが開発した「AccessTracer」と呼ばれる異常行動検出エンジンを利用し、不正なファイル取得や送信など情報漏洩に関わるPC操作が行われた事例のWindowsイベントログ11,000行から、不正行為を検知するというもの。
AccessTracerはイベントログからPCの行動履歴を動的に分析・学習し、いつもと違う行動パターンが検出されると、異常性としてスコアリングする。実験の結果、異常性スコア上位1.5%中に全不正行為を確認できた。なお、全ログデータの分析にかかった時間は7秒。
ここでもデモを行ったラックコンピュータセキュリティ研究所長岩井博樹氏によると、「AccessTracerを使うことによって、いままでランダム目視に頼ってきた異常行動の特定工数を1/100に削減できる」という。
NECのデータマイニング技術と、ラックのセキュリティノウハウを融合させることにより実現されたこれらの技術は今後どのように活用されていくのだろうか? ラック取締役SNS事業本部長の西本逸郎氏は「今回開発された技術は調査活動やコンサルティングですぐにでも活用していきたい。また、弊社のセキュリティー監視プログラムにもセンサーの1つとして取り込んでいくつもりだ」と語った。
また、NECインターネットシステム研究所長の山之内徹氏は「1年以内程度を目標とし、社内事業への提供を検討していきたい」と語った。
《田口和裕》
特集
この記事の写真
/