題名 | 標的型攻撃に対する知的ネットワークフォレンジックシステムLIFTの開発(その1)−予兆検知と対策方法の提案− |
著者 | *比留間 裕幸, 橋本 一紀, 柿崎 淑郎, 八槇 博史 (東京電機大学), 上原 哲太郎 (立命館大学), 佳山 こうせつ, 松本 隆, 佐々木 良一 (東京電機大学) |
ページ | pp. 29 - 37 |
キーワード | フォレンジック, 標的型攻撃, 予兆検知 |
アブストラクト | 近年,標的型メール攻撃をはじめとするサイバー攻撃が増加の一途を辿っているが,一般的な組織では適切な対応が難しい現状がある.よって著者らは,運用時には収集するべきログの管理や攻撃事象の特徴から攻撃事象の推定,分析を行い,対策案の算出,自動実行,管理者へのガイド機能を備えたLIFT(Live and Intelligent Network Forensics Technologies )システムの開発に着手した.本稿ではLIFTシステムの機能を中心に記述する.本システムではトリガーとなった徴候から事象を推定するに当たっての確信度を用い,その徴候だけでは推定が出来なかった場合には,プロセス監視やメモリダンプ取得等の追加調査を該当端末に対して動的に行う.事象が確定した場合には,有効な対策案を算出し管理者の設定を元に自動実行やガイドといった応急対応を行う.また,応急対応と平行して,証拠保全や確定した事象に関連する他事象を調査することで,現在の攻撃フェーズや過去の攻撃と類似する攻撃ケースを算出する.最後に,晒された攻撃事象や現在の攻撃フェーズ等をまとめてレポート出力することで,インシデント後の対応の支援も行う.推定を行う為のルールは,実際の組織を想定したネットワークを仮想環境上に作成し,徴候を再現する擬似的な攻撃を行うことで検討を行う.今回行った実験によって,推定ルールを作成,チューニングが可能であり,推定に利用できる見通しを得た. |
題名 | 標的型攻撃に対する知的ネットワークフォレンジックシステムLIFTの開発(その2)−プロトプログラムの開発と評価− |
著者 | *橋本 一紀, 比留間 裕幸 (東京電機大学), 上原 哲太郎 (立命館大学), 松本 隆, 佳山 こうせつ, 柿崎 淑郎, 八槇 博史, 佐々木 良一 (東京電機大学) |
ページ | pp. 38 - 43 |
キーワード | 標的型攻撃, セキュリティ, ネットワークフォレンジック, AI, プロダクションシステム |
アブストラクト | 近年,特定の企業や組織を攻撃対象とする標的型メール攻撃が問題となっている.企業や組織は攻撃への複数の対策を求められているが,多くの問題があり対策を選定することは困難である.このような問題に対処するため,著者らは標的型メール攻撃問題について,LIFT(Live and Intelligent Network Forensic Technologies)システムの開発を行っている.LIFTシステムは,システムは収集するべきログの管理や徴候から人工知能技術を用いて推定,分析を行い,応急対応を行う.さらに,セキュリティ技術者が全体を通して不足している現状もあるため,運用者へのガイド機能や,半自動運転機能を導入した知的システムにし,高い運用能力を持つ運用者がいない組織であっても対応できるようにしていく必要があると考えた.本研究では,LIFTシステムの開発構想と検討結果を簡単に述べたあと,LIFTのユーザインタフェースを含むプロトシステムの開発結果と仮想環境での適用,評価結果を報告する. |
題名 | 標的型攻撃に対する知的ネットワークフォレンジックシステムLIFTの開発(その3)−今後の研究構想― |
著者 | *佐々木 良一, 八槇 博史 (東京電機大学) |
ページ | pp. 44 - 50 |
キーワード | セキュリティ, サーバー攻撃, 人工知能, フォレンジック |
アブストラクト | 近年,特定の企業や組織を攻撃対象とする標的型メール攻撃が問題となっている.企業や組織は攻撃への複数の対策を求められているが,多くの問題があり対策を選定することは困難である.このような問題に対処するため,著者らはLIFT(Live and Intelligent Network Forensic Technologies)システムの開発を行っている.LIFTシステムは,収集するべきログの管理や攻撃事象の特徴から人工知能技術を用いて検知,分析を行い,応急対応とガイドを行うものであり,プロトシステムを用いた評価により目的とする機能を実現できる見通しが得られた.しかし,本システムは,既に発生した攻撃と同様な攻撃が起きた場合には対応できるが,新しい攻撃に対応するのは困難であるという問題がある.この問題を解決するため人工知能を利用しBeyond the Attackersを実現し,Proactiveな対策を可能にする研究・開発の構想を固めたので報告する. |
題名 | 仮想デスクトップ基盤における仮想マシンと接続端末の稼働コンテキストを考慮したデスクトップ動作の制御手法 |
著者 | *田代 孝仁, 古市 実裕 (日本アイ・ビー・エム株式会社) |
ページ | pp. 51 - 57 |
キーワード | 仮想デスクトップ基盤(VDI), 仮想環境, アクセス制御, コンテクストアウェアネス, システム管理 |
アブストラクト | 仮想デスクトップ基盤など仮想化技術を応用した計算資源の提供形態において,利用端末の稼働コンテキストを考慮したアクセス制御等のきめ細かな制御を行うことは難しかった.一方で,企業においても仮想化技術の普及や活用が進む中,企業活動において求められる機密情報等の保護への対応として,利用者端末の位置情報や構成状況をはじめとした稼働コンテキストに基づいたきめ細かな動作制御への期待は少なくない.本稿では,仮想デスクトップ基盤において,利用者に提供される仮想マシンとそれに接続する接続端末の双方における稼働コンテキストに基づいたアクセス制御方式を提案する.また,提案アーキテクチャに基づいたシステム実装を行い,企業での仮想デスクトップ基盤の活用における要求や課題を満たすことを示す. |
題名 | クラウドシステムの運用時における動的セキュリティ評価方式の提案 |
著者 | *関根 基晴 (東京電機大学), 芦野 佑樹, 島 成佳 (NECクラウドシステム研究所/東京電機大学サイバーセキュリティ研究所), 勅使河原 可海, 佐々木 良一 (東京電機大学) |
ページ | pp. 58 - 63 |
キーワード | セキュリティ評価, 運用管理, クラウドセキュリティ, ログ解析, 脆弱性検査 |
アブストラクト | 近年,サイバー攻撃の巧妙化により設計から運用に至るまでのセキュリティを考慮したITシステムが求められている.そのため,業界団体や政府機関はセキュリティ標準への準拠を推奨しており,これを読解してセキュリティ機能に落とし込む必要がある.また,年々需要が高まるクラウドシステムも同様に安全なシステムとしての対策が求められる.しかし仮想技術から成り立つクラウドシステムは運用時にも柔軟かつ俊敏にシステムの構成を変更できる利点がある一方で,変更箇所から新たに脆弱性が発生する問題が起こり得る.システム運用者はこの問題にいち早く対応するために,定期的にシステムがセキュリティ標準に準拠できているかの検証を行う必要があるが,手間がかかる.筆者らは,システム運用者の負担軽減のために,クラウドシステムへの適用に向けたセキュリティ評価方式を提案する.ログ解析によるシステムの監視を行うSIEMとシステムとセキュリティ標準を照合し評価するシステムデザインチェッカを組み合わせ,またこれらを統合するためのインタフェースを開発したので提案システムの有効性と機能に関する課題と併せて提示する. |