NECとラックは21日、データマイニング技術を適用した新しいセキュリティ監視技術の実証実験に成功したことを発表した。この実験は、ラックが提供した外部/内部からの攻撃記録を含むログを用い、NECのマイニング技術「ChangeFinder」「AccessTracer」を適用し、精度やスピード、作業効率といった有効性を両社で実証したもの。過去から現在を読み取る従来の分析とは異なり、現在から未来を予測し、犯罪を検知する技術として、今後のソリューション化が注目される。

今回発表された実験は、

• Webサイトの脆弱性を突いた「SQLインジェクション」攻撃を予兆する
• 情報漏洩など組織内部の人間による犯罪を検知する

の2つ。

NECがもつ4つのマイニングエンジン(※)のうち、時系列データが急激に変化する時点(変化点)を検出する「ChangeFinder」がSQLインジェクション攻撃の予兆に、ユーザの行動履歴データから異常行動を検出する「AccessTracer」が内部犯罪の検知に、それぞれ適用された。

(※): 「ChangeFinder」「AccessTracer」「SmartSifter」「TrendLifter」の4つ。すでに同社の組み込みソリューションなどで使用されているが、今回の実験でセキュリティ技術にも適用できることが実証されたという。

「ChangeFinder」を使った実験では、実際に攻撃のあった3日間344万行のWebアクセスログを分析、アクセス量の変化の「開始時点」をリアルタイムで検出し、3日分のログを2分弱で処理したという。検出した変化点は12点、検出率は100%(誤報率0.3%)を達成し、従来のIDSやIPSでは検出困難だった「未知の攻撃」でも予兆が可能であることを証明した。

「AccessTracer」を使った実験では、内部犯罪が発生した事例のWindowsイベントログ11,000行を分析、不審行動の異常性をセッションごとにスコアリングし、全ログデータを7秒で処理したという。精度は100%を達成し、スコア上位1.5%中に全不正行為を確認、膨大なログの中からでも、システマティックに不正行為を発見することを証明した。

「ChangeFinder」を使ったアクセスログ分析。左のグラフにリアルタイムでアクセスの変化量が示される。急激に上がったら要注意!	「AccessTracer」を使ったアクセスログ分析。異常値を点数付けし、スコア順にソートできる。分析対象ログの中で色付けされた部分があるが、実際に不正行為が行われたイベント

NECのデータマイニング技術センター長 山西健司氏は「ログは集めるだけではだめ。膨大なログの中から効率的に"不整脈"を発見する必要がある。従来のIDSやセキュリティアプライアンスは一定の閾値をベースにしているため誤報も多かった。本技術では、微分点、すなわち攻撃の立ち上がり時点でアラートを出すことができ、より迅速な対応が可能になる」と、今回の実験結果に自信をもつ。

同技術の製品化・サービス化の予定について、NECのインターネットシステム研究所長 山之内徹氏は「本技術はまだ改良の余地があるため、具体的な製品化などについては未定」としながらも、「今後1年くらいの間には何らかの形(ラックやその他の企業との連携、社内事業など)で事業化したい」とする。

ラックの取締役でSNS事業本部長の西本逸郎氏は「今のセキュリティ問題は3つのS - Shifty(狡猾)、Stealth(見えない)、Sniper(狙い撃ち)に代表されている。見えない脅威は気づきようがない。それをいかに見えるようにするかが今後の我々の課題」とし、増え続ける情報犯罪を防ぐには、まず「気づくこと」が最も重要だと語った。