OKIと大阪公立大学は7月12日、両者が15年にわたって取り組んできた「通信トラフィック分析に関する共同研究」の成果として、IoT機器の不正接続やマルウェア感染などネットワークへの不正侵入をリアルタイムで検知する監視技術を開発したことを発表した。
近年のサイバーセキュリティは、接続されている端末や内部ネットワーク含めたすべてを監視することが求められている。そのため、端末のログ監視(EDR)やネットワークのトラフィック監視(NDR)が求められており、AI技術の活用による普段と異なるトラフィックの動きを検知する手法など、多層的な対応が求められるようになっている。
また、ネットワークのエッジ領域においては設定や管理が不十分な監視カメラやIoT機器が増加傾向にあり、実際にそうしたIoT機器をターゲットとしたセキュリティの脅威が浮き彫りとなっており、組織内ネットワークの各拠点(エッジ領域)におけるセキュリティ対策が求められるようにもなってきた。
しかし、IoT機器の増加に伴い、ネットワーク管理者は、どこに何がつながっているかという把握が困難になってきており、個々の機器をどう守るかよりも、ネットワークとしてセキュリティをどう担保するかを重要視するようになってきており、今回、両者はそうしたニーズに応えることを目指し、リアルタイムネットワーク監視システムの開発を進めてきたとする。
同システムは、ネットワークスイッチのミラーポートに開発したエッジ分析装置を接続するだけで、リアルタイムでネットワークの監視を可能とするもの。機器の通信パターンを分析するAI処理機能や脆弱性検知機能を搭載し、エッジ領域のネットワークや機器をリアルタイムで監視し、不審な通信や脆弱性を持った機器の早期検知・遮断を可能とするという。
エッジ分析装置に搭載される機能としては、ネットワークのトラフィックをキャプチャする「トラフィックキャプチャ機能」、新たに接続された機器を検知する「新規端末検知」、ヘッダ情報を特徴量として機械学習で機器種別を判定する「機器種別判定機能」、機器に対するスキャンによる潜在的脆弱性の検知を可能とする「脆弱性スキャン」、接続されている機器が普段と異なる通信先へアクセスしたことを検知する「レア通信検知」、不正侵入後のネットワーク内の探索通信を検知する「スキャン通信検知」、通常環境下での機器の通信パターンを学習し、外れ値を検知する「通信非定常検知」、検知状況を確認し、通信先やサービス、通信量などを調査する「監視GUI」といったもので、装置単体で動作が可能。これら各機能はコンテナ形式で実装されており、各機能の取り外しや新機能の追加などを容易に行うことができ、ユーザーニーズに合わせたカスタマイズも可能だという。OKIでは、各機器にセキュリティソフトをインストールすることなく、また各機器に専用ツールなどを後付けする必要なく、ネットワークの監視をリアルタイムで行うことができるようになることを強調する。
接続された機器のIoT機器の種別を判別することができるので、管理下にないIoT機器の検出や、異常な挙動の検知などが可能になるのが特徴で、すでに大阪公立大学の杉本キャンパスのコアネットワークにて2023年1月に実証実験を実施済み。IoT機器を含む、多種多様な通信機器のトラフィックデータを取得できることを確認済みで、取得したトラフィックデータ(計9種別、47機種)を学習することにより、通信トラフィックの特徴からIoT機器をリアルタイムで識別できるかの評価では、IoT機器が接続されてから即座に97.7%の精度で識別できることを確認したという。
また、このほかOKIでは本庄工場ならびに沼津工場の生産エリアネットワークに同システムを設置し、接続機器の可視化や異常通信に関するリアルタイム監視を実施し、実際に管理者が把握しきれない現場レベルでのイベントの通知や警告を把握することができるようになることを確認済みであり、今後も現場のネットワーク管理者からのフィードバックを得ながらシステムの改良を続けていく予定としている。
なお、すでに同システムはパートナーへ検証機が提供可能となっていることから、今後、実証実験のパートナー募集を進め、実際の顧客環境での実証実験の件数を増やし、早期の商用化につなげたいとしている。