NECとセキュリティ事業を手掛けるラックは12月21日、大量のデータを解析して有益な情報を引き出すデータ・マイニングの技術を用いたセキュリティ監視を実現し、事業化していくと発表した。これはNECが2000年ごろから開発・実用化しているデータ・マイニング技術と、ラックのセキュリティ監視のノウハウを利用したものだ。そのための実証実験に成功したという。
両社が実施した実証実験は二つある。一つは、サーバーへのアクセス・ログを解析して、SQLインジェクションの予兆をとらえること。SQLインジェクションとは、Webサーバーを経由してデータベース上のデータを外部から改ざんしたり、不正に取得する攻撃のことである。アクセスの急激な変化を検出することで、侵入検知システムなどをすり抜けてしまう、特定サーバーを狙った攻撃を瞬時に防ぐための実験だ。もう一つは、企業で情報漏えいなどの内部犯罪があった場合に、Windowsのイベント・ログからその証跡を探し出すこと。即座に不正行為の実態を明らかにできるようにする。
これらの実験の主眼は「特別な装置を使わず、高速にログを解析できるようにすること」(NECデータマイニング技術センター長の山西健司氏)にある。SQLインジェクションなどの攻撃への対策は、一刻の猶予もならない。また、現状では、アクセス権限を悪用した内部犯罪を調査する際のログ解析には、「膨大な手間と時間を要する」(ラック コンピュータセキュリティ研究所長の岩井博樹氏)ことが多いからだ。しかし、高速なデータ・マイニング技術を利用することで、異常な操作や不正行為を素早く見つけ出し、迅速な対応ができるという。
両社はその証明として、前者の実験では、Pentium 4 3.4GHzのパソコンで、344万行のWebアクセス・ログを2分弱で処理し、検出率100%、誤報率0.3%を実現したこと。後者の実験では、1万1000行のログを7秒で処理し、異常行為を点数化した上位1.5%中にすべての不正行為を確認できたことを示した。
NECは、データ・マイニング技術を利用したセキュリティ・サービスを1年以内をめどに提供する計画。ラックでは、現在のセキュリティ事業の中に同技術を取り込んでいくという。
