富士通と国立情報学研究所(NII)は2019年11月29日、内閣府事業「戦略的イノベーション創造プログラム(SIP)/重要インフラ等におけるサイバーセキュリティの確保」において、20Gbps高速大容量のネットワークを対象に収集・蓄積・解析を組み合わせた技術の有用性を検証する実証実験を行った。この結果、従来の技術では検知できなかった不審な通信を検知することに成功した。
外部からのサイバー攻撃では、機密情報の探索や侵入経路の拡大など遠隔操作の踏み台として、組織内ネットワークの機器が悪用される。この踏み台となった機器は、正規業務の通信と攻撃操作の通信を同時に行っていることになる。
富士通は、通信の規則性と関係性に着目し、ネットワーク上の大量データから正規の通信特性を逸脱する踏み台に特有の通信を識別する技術を開発した。NIIが構築した20Gbps高速大容量のネットワークを対象に、有用性を検証する実証実験を行った。
開発した技術の特徴は、踏み台と外部の攻撃サーバー間で定期的に発生する通信の周期性に着目し、攻撃サーバーによる通信の特徴を捉えるというもの。これにより、正規利用の通信特性から逸脱する通信を検知する。
通信の特徴を示す通信パターンを数値化し、富士通独自の数理モデルを用いて判別する。これにより、汎用サーバーでも大量の通信データを解析できる。
一方、規則的な通信を行う正規業務の通信に対しては、通信データの送受信相手や他機器への通信状況を指標化することで、踏み台特有の通信と区別する。これにより、作業の漏れや解析の誤りを抑止する。
技術の有効性を確認するため、2018年10月から実証実験を実施した。実験の結果、20Gbpsの大容量通信を行うネットワークで、通信データを欠損することなく、踏み台特有の不審な通信を検知することに成功した。検知した通信は、正規業務の通信と同一の通信ポートを悪用したもので、大容量通信を行うネットワーク上では、従来のセキュリティ装置で検知されないものだった。
富士通は今後、解析結果に基づきネットワーク管理者に対する対処方法の推奨を行う技術の開発を進める。2020年度に、今回開発した技術と組み合わせたサービスを提供する。NIIは、サイバー攻撃発生時の被害状況を推定して影響範囲を極小化する手法の実現を目指す。