写真 データマイニングを使ったセキュリティ監視技術をデモンストレーションするラックの岩井博樹コンピュータセキュリティ研究所長
写真 データマイニングを使ったセキュリティ監視技術をデモンストレーションするラックの岩井博樹コンピュータセキュリティ研究所長
[画像のクリックで拡大表示]

 NECとラックは12月21日,データマイニング技術を利用したセキュリティ監視技術の実証実験に成功したと発表した(写真)。実験は9月から1カ月間実施。内容はWebサーバーのログのマイニングにより「SQLインジェクション攻撃の予兆を検出する」と,Windowsのイベント・ログのマイニングにより「なりすましなど組織内の不正行為を検出する」の2点である。

 NECは要素技術として,4種類のデータマイニング・エンジンを持つ。実証実験では,時系列データに急激な変化が起きた時点を検出する「ChangeFinder」と,行動履歴データから異常な行動パターンを検出する「AccessTracer」の2種類のエンジンを使った。これにラックのセキュリティ・ノウハウを組み合わせた形である。NECのエンジンは汎用的なものであるため,「ログ・データをセキュリティ検査に合うように加工する前処理や,後処理を行う適用技術をラックと共同開発した」(NECの山之内徹インターネットシステム研究所長)。

 SQLインジェクション攻撃の予兆を検出する実験では,SQLインジェクション攻撃があったケースを含む3日間344万行のWebアクセス・ログを2分弱(3.4GHzのPentium4マシン)で分析。12の変化点,つまり普段と違うサーバーの挙動を検出した。その22時間後にSQLインジェクション攻撃があったという。

 なりすましなど組織内の不正行為を検出する実験では,内部犯罪が起きたケースのWindowsイベント・ログ1万1000行を7秒(3.4GHzのPentium4マシン)で分析。「異常スコア」の上位1.5%中にすべての不正行為が含まれたとする。

 NECの山西健司インターネットシステム研究所主任研究員は,「ハッカーやクラッカは今や職業化し,サイト特有のぜい弱性を狙う攻撃をしかけて気づかぬうちにデータベースの中身を持っていくなど,重要情報を盗み出す泥棒行為を働くようになってきた。こうした状況に対抗するには,わずかな変化に気づくことが重要だ」とした。ラックの西本逸郎取締役執行役員SNS事業本部長も,Webサーバーの台数とそこで稼働するプログラムが増大して管理が限界になりつつある現状を指摘。データマイニングで絞り込み,専門家に任せることの重要性を説いた。今後両社は協議を重ねながら,この技術のサービス適用などを検討していくという。