サーバーを日々運用していると,様々な形式のログが大量に出力される。セキュリティ上はそのすべてをきちんとチェックすべきではあるが,実際には難しいのが現状だろう。しかし,その一助になりそうな技術がある。「情報視覚化(Information Visualization)」である。数字や文字列で構成された無機質な情報を,画像などに置き換える技術である。今回のコラムでは,情報視覚化について説明するとともに,セキュリティ分野への応用例を紹介したい。

直感に訴える

 情報視覚化とは,情報を視覚的に分かりやすい形で提示して,ユーザーが直感的に把握できるようにするユーザー・インタフェース技術である。情報視覚化の身近な例としては,地図上に複数の都市の時刻を表示する「世界時計」が挙げられる。世界時計は,世界地図上の“位置情報”と“時刻情報”を関連付けて示している。これにより,ある都市の時刻が分かると同時に,その都市が地球上のどこに位置しているのかについても分かるのである。

 もし,都市の時刻情報(都市名とその時刻)と地図がばらばらであったら,時刻情報で都市の名前を見てから,改めて都市の位置を地図上から探さなければならない。

 さらに重要なことは,関連付けられている情報(この場合は,位置と時刻)の関係を直感的に把握できることである。世界時計の例では,都市間の距離と時刻の差が必ずしも比例関係にはないことが,ひと目で確認できる。

 時として,“直感”は絶大な効果を発揮する。情報視覚化の力を借りることで,データを眺めているだけでは決してつかめない,異なる情報間の“隠れた関連”を見出せることも少なくない。

 また,インタラクティブな操作を行う場合にも,情報視覚化は非常に有効である。操作した結果がすぐに画像(映像)に反映されるからだ。例えば,表示されている情報の特徴を調べようと,なにがしかの処理を施したとする。すると,その結果はすぐに画面上の情報に反映され,その処理が効果的かどうかが即座に分かる。

視覚化の欠点

 ただし利点ばかりではない。視覚化の際には,その対象とはならない情報は生データから削られることになる。そのため,全体像の把握には便利であるが,詳細な調査を行うことは難しい。熟練者からは,変換された視覚化画像よりも,直接生のデータを見るほうが細部まで分かるので好ましいとの声を聞くこともある。

 また,視覚化できる情報の数が限られるのも欠点だ。情報視覚化は,ひと目で見られるように,1枚の画像に収めてこそ意味がある。しかし,1枚の画像で表示できる情報には限りがある。データの種類が増えれば,到底1枚には収まりきらない。

 先ほどの「世界地図」の例に戻れば,各都市の時刻以外の情報を収めたほうが便利そうではある。天候情報,人口,使われている言語・・・などなど。しかし,すべての情報を1枚の画像に詰め込むことは不可能だ。

 さらに,たとえ詰め込めたとしても,ぱっと見ただけでは把握しきれなくなり,最も重要な利点のひとつである「直感的な分かりやすさ」を失うことになる。

 加えて,これは当然といえば当然だが,視覚化はユーザーに見せることが前提である。情報をユーザーに提示し,ユーザーがそれに対してアクションを起こすことが前提である。そのため,セキュリティ分野で期待されている,「処理の自動化」の助けにはならない。

ネットワーク分野で進む視覚化

 とはいえ,うまく使えば有用な視覚化。ネットワーク分野では比較的応用が進んでいるので,簡単に紹介しよう。いずれもネットワークのトラフィック状況をひと目で把握できるようにするツールである。

 まずは,米Raytheonの「SilentRunner」を紹介しよう。これは,ネットワーク・トラフィックのモニタリングや解析を行うためのソフトウエアである。トラフィックをリアルタイムに3次元画像にして表示する。

 ホスト間のトラフィックを視覚化することで,普段どのような通信が行なわれているかが一目瞭然(りょうぜん)となる。そして,いつもはあるはずがない“異常な”通信が行われればすぐに分かる。

 また,モニタリングだけではなく,解析時にも視覚化によって通信パターンを把握しやすくしている。もちろん視覚化した情報だけではなく,必要に応じて生データも表示できるので,詳細な調査も十分行えるようである。

 米CAIDAは,「AS Internet graph」というグラフを公開している。AS(自律システム)と呼ばれる,インターネットに存在する基幹ネットワーク同士のトラフィックや経路情報等を開発したツールを用いて収集し、視覚化したものである。利用したツールはCAIDAのWEBサイトより入手できる。

 実際の視覚化画像は,米CAIDA のサイトで公開されている。二次元の円の内部に各ASを点として配置し,その間をトラフィックに応じた色の線で結んでいる。点の色や位置もトラフィックに応じて異なる。トラフィックが多いASほど円の中央に配置される。そのため,多くのASと通信している重要なASが一目で把握できる。

 AS間の関係は流動的に変化するため大変複雑である。さらに,ASの数も多い。CAIDAのサイトに掲載されている図には,60万以上のASが含まれている。これだけの解析は手動では難しい。情報視覚化を使うことにより,初めてAS間の関係が明らかになる。

セキュリティ分野でも期待

 セキュリティ分野でも,情報視覚化の応用が期待される。膨大かつ多様なログを視覚化することで,攻撃されているかどうか,その兆候があるかどうかなどを直感的につかめれば,管理者の負担はどんなに軽減されることだろうか。

 しかし,まだまだ難しいのが現状のようだ。どういった情報を取り出して,どのように視覚化すればよいのかといった,デザイン面での問題が山積している。最適なデザインは,対象とする機器や,それが使用されている環境などによっても変わってくるだろう。一朝一夕にはいかず,ノウハウの蓄積が不可欠だ。

 とはいえ,研究は着々と進められている。例えば,電気通信大学の高田哲司氏による「見えログ」の研究が挙げられる。情報視覚化と統計解析を用いて,UNIXマシンが出力するログの解析を支援するブラウザである。

 見えログでは,必要な情報を抽出するために,一旦ログを共通形式に変換し,単語やフレーズごとにテキスト・マイニングによる統計的な解析を行う。また,ログ情報を画像として表示し,ログ全体の概略を把握しやすくする。画像自体は,ログの一行が一本の横線に対応する単純なものであるが,その長さと色が統計解析の結果を反映している。そのため,画像全体を眺めれば注目すべき場所(行)が分かる。

 ログ一行一行をチェックしなくても,定期的にこのソフトを用いてログをチェックすれば,管理者の負担を軽減できるとともに,異常なログ出力などの,セキュリティ上の問題を発見しやすくなるだろう。

◇     ◇     ◇     ◇     ◇     ◇

 今回は,発展途上の技術である情報視覚化を取り上げ,セキュリティ分野への応用について紹介した。現在はまだセキュリティ製品への応用が少なく,研究段階がほとんどではあるが,膨大なデータを解析するための一手法として,実際の現場でも利用できるようになることを期待したい。


若居和直(WAKAI Kazunao)
株式会社ラック 不正アクセス対策事業本部
wakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。