ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. 未知のサイバー攻撃に立ち向かう研究者
ここから本文です。

Innovators 100 Seriesより

未知のサイバー攻撃に立ち向かう研究者

NEC ビジネスイノベーション統括ユニット サイバーセキュリティ戦略本部 エキスパート/
セキュリティ研究所 主任研究員・工学博士:喜田 弘司

近年、多様化・巧妙化が進むサイバー攻撃の脅威は、情報システムから社会システムへと拡大。従来のセキュリティ対策の常識を越えた逆転の発想と新たな仕組みで、いままで不可能だった未知のサイバー攻撃の検知を可能にした「自己学習型システム異常検知技術」。
さまざまな専門分野の研究者たちで編成された開発チームのリーダーとして、いままでにない画期的な新技術開発に挑んだ喜田 弘司が、開発のきっかけや独自の発想、苦労について語ります。

未知のサイバー攻撃に、どう対策できるか

サイバー攻撃に対する新技術開発の背景について、まず聞かせてください。
喜田:近年、サイバー攻撃は多様化や巧妙化が進んでいます。また、さまざまなモノがネットワークでつながるIoTがさらに普及すれば、攻撃の対象は企業や公共機関などの情報システムにとどまらず、社会システムや重要インフラなどへの脅威も高まります。
いままでのセキュリティ対策ではファイアウォールのほか、攻撃の手法やパターンを分析して対処するといった方法がとられてきました。最近は、新しい攻撃の出現スピードがどんどん速くなり、セキュリティ対策が有効に機能する期間が短くなっています。現在のセキュリティ対策では、攻撃側と守る側の情報戦・技術戦におけるイタチごっこが繰り返されているという状態なのです。
最近では、大きな被害をもたらす新しい攻撃が増えつつあります。そうした被害を防ぐためには従来型の対処療法的なセキュリティ対策に加えて、新しい攻撃に対する新たなセキュリティ対策が求められます。そのひとつして、いままでのやり方では検知できない未知の攻撃への対策の重要性が高まっています。

未知の攻撃への対策を実現した、新技術の開発のきっかけとは何ですか。
喜田:未知の攻撃への対策を実現する新たな技術開発のためには、従来のセキュリティ対策と考え方も仕組みも根本的に異なる発想が必要でした。そこで、私たちが着目したのがNECの「故障予兆監視システム」でした。
このシステムは、センサーによって収集したデータから異常を検知する技術で、発電プラントで実際に活用されています。この技術を根幹として、サイバーセキュリティに応用するためのプロジェクトが2012年にスタートしました。

「ふつう」と違う、システムの動きを見逃さない

新開発の「自己学習型システム異常検知技術」を、わかりやすく教えてください。
喜田:簡単に言えば、いつもと動きが変わった瞬間に、何か異常が起きていることをシステムが自分で気づいて判断してくれる技術です。社内ネットワークなど、システム自身が「ふつう(平常)」の状態を監視して学習を重ね、「ふつうと異なる」動きを検知したらリアルタイムで分析を行い、サイバー攻撃の可能性を判断して管理者に通報します。
平常と異常の違いは、プロセスとファイルの関係性などいくつかのポイントから判断します。たとえばログファイルは追記されるのがふつうですが、サイバー攻撃者は痕跡を残さないようにログファイルの改ざんを行います。この改ざんという「ふつうと異なる」動きがあると、サイバー攻撃の可能性が高いと判断できるわけです。こうした監視は、エージェントと呼ばれる、PC1台1台にインストールされたソフトウェアが行います。この監視データをサーバに集めて分析し、対策のための判断を行います。

新技術開発はどのようにスタートしたのでしょうか。
喜田:私がプロジェクトに参加したのは2013年の8月でした。後述のコンセプト(図のアイディア)のような考えにもとづき、サイバーセキュリティ対策に果たして応用できるか。その可能性を見極めるため、社内の情報システム部門に コンセプトの説明とヒアリングを行いました。
その時の反応は、「NECグループで稼働する膨大な数のPCを監視し続けるシステムが実現できたらスゴイですね。運用データや実験場所の提供など全面協力するので、ぜひ技術開発にチャレンジして欲しい」と、前向きな印象でした。ヒアリングで浮上したのが、システム管理者の運用監視業務の負荷や手間の問題でした。社内の情報システム部門の話を聞いて、運用監視のどこまでの領域を自動化できるかが、開発の最重要テーマとなったのです。

従来のセキュリティ対策とは、逆転の発想で

従来と異なる新技術は、どうやって生まれたのですか。
喜田:2014年4月から、8名くらいのスタッフによって本格的な研究が動き始めました。従来のセキュリティ対策のナレッジやノウハウを使わず、機械的・数学的にサイバー攻撃を検知するという、いままでとは考え方も仕組みも違う逆転の発想をコンセプトにしました。当初の開発チームは、セキュリティの専門家がいないメンバー構成でした。
チームメンバーとしては、さまざまな専門家たちが集結しました。監視用ソフトウェアの開発者をはじめとして、監視したデータを処理するデータベースのエキスパートやデータを分析するデータマイニングの専門家、人間が最終段階で判断するためのインタフェースとしてGUIの専門家などが集まり、そのスキルや知恵を結集して開発にあたりました。そして、実用化を検討できるレベルまで達した2015年12月、未知のサイバー攻撃対策を実現した、いままでにないNEC独自の技術として発表されました。

開発は、チームの結束力で

新技術の特長や開発におけるこだわりなど、もう少し詳しく教えてください。
喜田:研究者は、ここだというピンポイントの機能に絞って研究を進める場合が多いのですが、セキュリティ対策には異常の発見から対応、運用を見据えたユーザインタフェースなど、いろいろな機能が求められてきます。そうしたいくつもの機能に対して、研究者自らがトータルに取り組まなくてはならないところに他の研究との大きな違いがあり、さまざまな苦労もありました。
この技術の最大の特長は、異常の検知、範囲の絞り込み、隔離までの自動化ですが、それ以外にも、さまざまなこだわりや工夫があります。異常を検知する判断基準は、実際の攻撃データを用いて、被害が出る一歩手前まで検証するなど、3年間かけて精査しました。
また、利用者にはエージェントをインストールしたPCの快適性を損なわないようにソフトウェアの軽量化を図ったり、最終判断を下す管理者に対しては管理用コンソールのGUIを向上させてネットワーク構造に合わせ全体像を可視化したりするなど、さまざまな工夫を行っています。
開発期間中は、社内の情報システム部門の責任者と何度もデモやディスカッションを重ねて、受け入れられるレベルまでたどり着きました。この新技術は、チームメンバー全員で作り上げた努力の証なのです。

ホスト間のNWにおける平常動作と異常をリアルタイムに表示

新技術開発において、喜田さんにはどんな苦労があったのでしょうか。
喜田:チームメンバーのモチベーション管理にいちばん苦労しましたね。研究者には、過去に蓄積された知識や実績を踏まえ、その先の目標を追求するという習性を持った人が多いのです。ところが、従来のセキュリティの常識と異なる今回の新技術開発は、逆転の発想で、過去の研究実績もなければ、ノウハウもありません。ゼロスタートで、ゴールもはっきり見えていないこの技術開発は研究の王道からズレていて、研究者にとってはかなり戸惑うものだったと思います。そうした状況ですから、チームみんなに対する求心力を維持することが大変でした。

産業や社会システムへの貢献も期待

「自己学習型システム異常検知技術」の今後の展望を聞かせてください。
喜田:開発チームとしては、2016年度中の実用化を目指しています。今後は、実際に情報システムを運用している人たちの役に立つレベルまで、AIやマイニングを使ったこの技術をさらに磨き上げることが重要だと思っています。
ICT分野におけるセキュリティ対策はもちろんのこと、IoTの進展に伴い、さらに脅威が広がる産業や社会システムの分野における活用にも、大きな期待を寄せています。この技術は、社会システムのセキュリティ対策にも大きな強みを発揮してくれます。

【動画】今、企業の情報資産を守るために必要なこととは?
-NECからのご提案-

画面キャプチャ

外部攻撃(標的型攻撃、不正アクセス)、内部不正の両面から狙われる企業情報。どのように守っていくのか、どこから始めるべきなのか、日々ご相談をいただいています。
NECが考える、企業がケアすべき情報の流出経路とその脅威、そして今求められる対策について、CG動画(5分)でコンパクトにご紹介します。

【診断】設問に答えてその場でわかる!
あなたの会社にいま必要な内部情報漏えい対策とは?

画面キャプチャ

昨今の相次ぐ情報漏えい事件を背景に、システム管理者の不正防止といった内部対策の重要性が増しています。この診断を通して貴社の対策状況を把握いただき、今後必要となる対策のヒントとしてご活用ください。

ページの先頭へ戻る