［国内］
NECとラック、データ・マイニングで未知のセキュリティ・リスクを検出する技術を開発

（2006年12月21日）

　NECとラックは12月21日、データ・マイニング技術によって未知のセキュリティ・リスクを発見する監視技術を開発したことを発表した。同技術には、ネットワークの外部からの攻撃の予兆をリアルタイムで発見するものとネットワーク内部のPCにおける不正なふるまいを検出するものの2種類があり、両社は各技術の有効性を証明する実証実験に成功している。

NECのデータマイニング技術センター長、山西健司氏

　同技術が開発された背景として、NECのデータマイニング技術センター長の山西健司氏は、「従来のセキュリティ対策では、もはやネットワーク外部および内部からのセキュリティ・リスクに対処しきれなくなっているから」と説明した。

　外部からのセキュリティ・リスクへの対策であるファイアウォールとIDSは特定のWebサイトに特化した攻撃を、また、ウイルス対策ソフトは未知の不正プログラムを阻止できないという。

　また、正規のユーザーIDとパスワードを有する内部の人間によるなりすましといった不正行為は、膨大なログ・ファイルを分析することで突き止められるが、それには多大な手間と時間を要するため困難だという。

　外部からのセキュリティ・リスクを対象とする監視技術は、NECのマイニング・エンジン「ChangeFinder」によってWebサーバへのアクセスを分析し、ログが急激に変化した時点を未知の攻撃の予兆としてリアルタイムで検出するというもの。これより、外部からの攻撃を未然に防ぐことが可能になる。同技術を用いた実証実験では、SQLインジェクション攻撃（外部からSQL文を入力して、データベース・サーバ内のデータの改竄・不正取得を行おうとする攻撃）の予兆が検出された。

　内部PC上の不正なふるまいを対象とする監視技術は、ログをスコアリングして不正なふるまいに高いスコアを与えるNECのマイニング・エンジン「AccessTracer」によって、PCのイベント・ログの中から内部犯罪につながる不審な行為を絞り込むというもの。通常、ログから不正なふるまいを検出するには、組織の環境や個人の操作パターンを考慮したうえで行う必要があるが、同技術ではPCの利用状況の流れから異常を検知できるため、ログ分析の効率化が実現される。同技術を用いた実証実験では、Windowsのイベント・ログ11,000行からスコア上位1.5％内に不正行為を確認することができた。

ラックの取締役SNS事業部長、西本逸郎氏

　ラックの取締役SNS事業部長の西本逸郎氏は、「現在のセキュリティ・リスクは『狡猾』『不可視』『標的を絞っている』という3つの特徴を備えている。見えないリスクはリスクとして認識できず、当然対処することもできない。そこで、複雑かつ大規模なネットワーク全体を鳥瞰してリスクの把握を可能にするのがデータ・マイニング技術を活用した監視技術だ」と述べ、同技術の有効性をアピールした。

　現時点では、同技術の製品化およびサービス化は予定されていない。ただし、発表会では、西本氏が「（同技術を）ラックのセキュリティのコンサルティング・サービスの一環として提供することはすぐにでも可能であり、また、ラックの監視サービスのセンサに採用することを検討したい」と述べ、また、NECのインターネットシステム研究所所長の山之内徹氏も「1年以内にラックとの連携によるサービスやNECの社内事業として展開したい」と語った。