ここから本文です。

2016年06月30日

NECのイノベーターズたち

未知のサイバー攻撃に立ち向かう研究者

 近年、多様化・巧妙化が進むサイバー攻撃の脅威は、情報システムから社会システムへと拡大。従来のセキュリティ対策の常識を越えた逆転の発想と新たな仕組みで、いままで不可能だった未知のサイバー攻撃の検知を可能にした「自己学習型システム異常検知技術」。

 さまざまな専門分野の研究者たちで編成された開発チームのリーダーとして、いままでにない画期的な新技術開発に挑んだ喜田 弘司が、開発のきっかけや独自の発想、苦労について語ります。

未知のサイバー攻撃に、どう対策できるか

──サイバー攻撃に対する新技術開発の背景について、まず聞かせてください。

喜田:
 近年、サイバー攻撃は多様化や巧妙化が進んでいます。また、さまざまなモノがネットワークでつながるIoTがさらに普及すれば、攻撃の対象は企業や公共機関などの情報システムにとどまらず、社会システムや重要インフラなどへの脅威も高まります。

 いままでのセキュリティ対策ではファイアウォールのほか、攻撃の手法やパターンを分析して対処するといった方法がとられてきました。最近は、新しい攻撃の出現スピードがどんどん速くなり、セキュリティ対策が有効に機能する期間が短くなっています。現在のセキュリティ対策では、攻撃側と守る側の情報戦・技術戦におけるイタチごっこが繰り返されているという状態なのです。

NEC ビジネスイノベーション統括ユニット サイバーセキュリティ戦略本部 エキスパート/セキュリティ研究所 主任研究員・工学博士:喜田 弘司

 最近では、大きな被害をもたらす新しい攻撃が増えつつあります。そうした被害を防ぐためには従来型の対処療法的なセキュリティ対策に加えて、新しい攻撃に対する新たなセキュリティ対策が求められます。そのひとつして、いままでのやり方では検知できない未知の攻撃への対策の重要性が高まっています。

──未知の攻撃への対策を実現した、新技術の開発のきっかけとは何ですか。

喜田:
 未知の攻撃への対策を実現する新たな技術開発のためには、従来のセキュリティ対策と考え方も仕組みも根本的に異なる発想が必要でした。そこで、私たちが着目したのがNECの「故障予兆監視システム」でした。

 このシステムは、センサーによって収集したデータから異常を検知する技術で、発電プラントで実際に活用されています。この技術を根幹として、サイバーセキュリティに応用するためのプロジェクトが2012年にスタートしました。

「ふつう」と違う、システムの動きを見逃さない

──新開発の「自己学習型システム異常検知技術」を、わかりやすく教えてください。

喜田:
 簡単に言えば、いつもと動きが変わった瞬間に、何か異常が起きていることをシステムが自分で気づいて判断してくれる技術です。社内ネットワークなど、システム自身が「ふつう(平常)」の状態を監視して学習を重ね、「ふつうと異なる」動きを検知したらリアルタイムで分析を行い、サイバー攻撃の可能性を判断して管理者に通報します。

 平常と異常の違いは、プロセスとファイルの関係性などいくつかのポイントから判断します。たとえばログファイルは追記されるのがふつうですが、サイバー攻撃者は痕跡を残さないようにログファイルの改ざんを行います。この改ざんという「ふつうと異なる」動きがあると、サイバー攻撃の可能性が高いと判断できるわけです。こうした監視は、エージェントと呼ばれる、PC1台1台にインストールされたソフトウェアが行います。この監視データをサーバに集めて分析し、対策のための判断を行います。

画像を拡大する

──新技術開発はどのようにスタートしたのでしょうか。

喜田:
 私がプロジェクトに参加したのは2013年の8月でした。前述のコンセプト(図のアイディア)のような考えにもとづき、サイバーセキュリティ対策に果たして応用できるか。その可能性を見極めるため、社内の情報システム部門にコンセプトの説明とヒアリングを行いました。

 その時の反応は、「NECグループで稼働する膨大な数のPCを監視し続けるシステムが実現できたらスゴイですね。運用データや実験場所の提供など全面協力するので、ぜひ技術開発にチャレンジして欲しい」と、前向きな印象でした。ヒアリングで浮上したのが、システム管理者の運用監視業務の負荷や手間の問題でした。社内の情報システム部門の話を聞いて、運用監視のどこまでの領域を自動化できるかが、開発の最重要テーマとなったのです。

従来のセキュリティ対策とは、逆転の発想で

──従来と異なる新技術は、どうやって生まれたのですか。

喜田:
 2014年4月から、8名くらいのスタッフによって本格的な研究が動き始めました。従来のセキュリティ対策のナレッジやノウハウを使わず、機械的・数学的にサイバー攻撃を検知するという、いままでとは考え方も仕組みも違う逆転の発想をコンセプトにしました。当初の開発チームは、セキュリティの専門家がいないメンバー構成でした。

 チームメンバーとしては、さまざまな専門家たちが集結しました。監視用ソフトウェアの開発者をはじめとして、監視したデータを処理するデータベースのエキスパートやデータを分析するデータマイニングの専門家、人間が最終段階で判断するためのインタフェースとしてGUIの専門家などが集まり、そのスキルや知恵を結集して開発にあたりました。そして、実用化を検討できるレベルまで達した2015年12月、未知のサイバー攻撃対策を実現した、いままでにないNEC独自の技術として発表されました。

──新技術開発において、喜田さんの果たした役割とは何ですか。

喜田:
 私自身はソフトウェアの専門家ですが、今回の新技術開発ではチームリーダーとしてプロジェクトを束ねる役割を果たしました。実際にソフトウェアの開発に携わるのではなく、チームの責任者として方式の決定や、個々の研究者とディスカッションを繰り返しながら開発の取りまとめなど、全体管理を行うプロジェクトマネージャに近い業務を行いました。

関連リンク

関連キーワードで検索

さらに読む

本文ここまで。
ページトップ