産学官が共創、重要インフラのサイバーセキュリティはこう創る

動作監視・解析と真贋判定で攻撃と侵入を阻止

日本電信電話株式会社
セキュアプラットフォーム研究所 所長
大久保 一彦 氏

IoT ボットのMiraiによる大規模DDoS攻撃(注1)や、ドイツテレコムの顧客ルーターにおけるトラブル事例では多くのIoT機器が攻撃に使われました。このため、今後はダークネット、ハニーポット、フロー情報とIDS(注2)ログの監視を行い、IoTマルウェアによる攻撃の特性を解析して全体像を把握した上で対策情報をまとめ、プロアクティブに対策を打つ事が重要です。

一方、重要インフラにおけるセキュリティ課題として、すでに海外でのマルウェアによる重要インフラの停止が現実のものとなっています。また、設備の仮想化が進むと、従来の技術・運用では対応が困難となります。インフラ設計時に「Security by Design」の観点がなくセキュリティ機能の配備に関する考察が不足しているインフラが多いため、攻撃が巧妙化している現状を踏まえると完全な攻撃回避は不可能でしょう。

さらに、重要インフラにおいても汎用化とオープン化が進んでいるため、攻撃者が必要とする脆弱性情報が得やすくなっています。そしてインフラの大規模化や複合連動システム化が進むことで一ヵ所でも攻撃が成功すれば広範囲に影響が及ぶリスクが高まります。

このような課題の中、動作監視・解析技術の開発によってサイバー攻撃の成立を前提とした「Detection & Response」の研究と、機器への不正な機能の混入や改変を常時監視し、異常動作を阻止する真贋判定技術の研究を行いました。

後藤氏がプログラムディレクターを務めるSIPにおけるサイバーセキュリティの研究開発において、NTTは「動作監視・解析技術の開発」「真贋判定技術の開発」の2つの方向性で技術開発を進めています。

IoT向け動作監視・解析技術においては、IoT機器を自動検出し、機器数が膨大であっても効率的に監視可能な「IoT-GW実装技術」と、多様化するIoT機器に自動対応しつつ、AI技術を活用した「IoT向けアノマリ検知技術」を開発中です。前者はCPUのソフトウェア処理とパケット転送エンジンを連携させることで信号監視と転送処理を両立させる性能を小型低コストで実現し、後者は異常の事前学習が不要な教師なし学習の適用により、未知の攻撃にも対応可能になります。

また真贋判定技術に関しては、TPM2.0という最新セキュリティチップと暗号技術を駆使することによって、真贋判定の基盤データを強固に保護する「信頼の基点」実装技術と、数千台レベルの端末を管理するサーバ機器に対応し設備全体の真贋判定を可能にする「信頼の連鎖」構築技術の開発を進めています。

信頼の起点を通じて、セキュアブート機能等によりハードウェアからOS、真贋判定ソフトウェアまでが完全性を持って起動し、真贋判定ソフトウェアが一般ソフトウェアの起動時と定期にそれらの完全性を確認することで対応します。また、信頼の連鎖により、上位の機器に登録された検証情報を下位の機器が安全かつ自動的に入手して真贋判定に役立てるようになっています。

これらの開発を5年計画で進めており、まずは2020年に向けた先行版で運用機能を含むシステム化を行い、引き続き商用品質の確保と品質の向上を目指した拡大版を行います。

(注1)DDoS攻撃(Denial of Service attack):分散サービス拒否攻撃
(注2)IDS(Intrusion Detection System):不正侵入検知システム

重要インフラのサービス継続性を四つの技術で支える

富士通株式会社
ネットワークソリューション事業本部
シニアディレクター 加藤 正顕

重要インフラを支える情報通信基盤を守ること、同時に最新の情報通信技術を安心・安全に利用できる環境を構築する重要性が増しています。ここで考慮すべきポイントとして、機器やクラウドなどの汎用技術の活用があること、重要インフラは設備や内部設計の変更は容易にできないこと、運用期間が長いため機器も新旧混在することがあります。

昨今の攻撃の進化から「脅威の侵入は前提」としたうえで、重要インフラの内部設計に強く依存する内部脅威対策を国産技術として開発することが重要です。このことはインフラの輸出競争力の源泉にもなります。

セキュリティ脅威を考えた場合は、潜伏期間の長期化と拡散が問題となっており、侵入を発見しても単にネットワークから遮断すると自爆行動に出る場合もあり、安易に止めず全体を見て判断する必要があります。また、情報通信基盤を考えた場合、クラウド環境下でも通信データを確実に取得するため、NFV(通信装置仮想化)への対応と、5Gに代表される通信の高速化、大容量化の対応も必要になっています。

その上で重要インフラにとって最も重要なサービス継続性を確保するためには、脅威レベルに応じた適切な対策とエスカレーションが必要で、本技術開発においてSOC/CSIRTのセキュリティ専門家をアシストしシステム全体のレジリエンスを強化します。

富士通は、SIPの「重要インフラ等におけるサイバーセキュリティの確保」において「情報・制御ネットワーク構成機器のトラフィック分析による健全性確認技術」の研究と開発を行っています。

内部脅威対策の機能サイクルでは収集、蓄積、解析、制御リコメンドにより対策をアシストします。収集機能では高性能仮想TAP・高速キャプチャにより仮想タップからは従来の10倍の10Gbpsに向上。高速キャプチャは新旧両環境から最大100Gbpsのデータを取得できるようになりました。蓄積では汎用サーバを並列化した安価な構成で、100Gbpsを超える性能を実現。解析に群挙動モデル解析を行う事で、システム全体の通信を俯瞰的に解析しています。そして制御リコメンドは影響度から見た緊急度と、適切な調査・対策方法を示唆することでSOC/CSIRTのエキスパートの負荷を軽減させます。

これらの技術とNTTの真贋判定技術を連携させ仮想通信装置の通信アプリの真贋判定を加えることで、仮想通信装置の柔軟性とセキュリティを一体化した、クラウド時代のスタンダードとして発展させることができるでしょう。

サイバーセキュリティの「日本のルール形成」が求められる

富士通株式会社
サイバーセキュリティ事業戦略本部
エバンジェリスト
太田 大州

カンファレンスの最後、富士通の太田が再び壇上にあがり、「私たちがこういう方々と一緒に自らの力でセキュリティ技術を作り上げ、しっかり産業化し回るようする。そうなれば、私たち日本全体で行おうとしている、ソサエティ5.0やイノベーションについても、安心安全なサービスとして使っていただけるようになると思っています。そういった共創を進めていきたいです」と述べました。

また「富士通は、IoT、AI、クラウドなどのサービスをお客様に提供の際に"Security by Design"ができるエンジニアが求められています。そこで富士通では"セキュリティマイスター"という制度を作り人材育成を進め、既に1931人を認定。今後さらに1万人規模に増やしお客様のセキュリティ設計、運用がしっかりでき、同時に完成したシステムを新しい技術を活用して運用を最適化していきたい」と富士通のこの先の取り組む方向性を示しました。

さらに、太田は日本に欠けているものとして「ルール」を挙げました。「今、アメリカでは国際ルールを形成して、サイバーセキュリティに対してどこまでやらなければならないというルールの形成が進んでいます。そして欧州においてもこのルールが適用されようとしています。こういった国際社会全体のルール形成の中で、日本自身がまだルールを作れていません。SIPの技術、人材育成と同時に富士通もぜひ取り組んでいきたいと思っています」と述べ、「国産技術が日本のICTの産業を支えるものになるよう、皆さんと一緒に社会実装、そして新しいルール形成にも取り込んでいきたいです」と語りカンファレンスを締めくくりました。

登壇者
  • 内閣府
    戦略的イノベーション創造プログラム プログラムディレクター
    情報セキュリティ大学院大学
    学長
    後藤 厚宏 氏

  • 日本電信電話株式会社
    セキュアプラットフォーム研究所 所長
    大久保 一彦 氏

  • 富士通株式会社
    ネットワークソリューション事業本部 シニアディレクター
    加藤 正顕

  • 富士通株式会社
    サイバーセキュリティ事業戦略本部 エバンジェリスト
    太田 大州