分散型セキュリティオペレーション、闇通信を分析して被害を防ぐ

昨今、多彩な分野でデジタル化が進展し、人々の生活が便利になっている。その一方で、企業や団体、個人の情報や資産を奪取したり詐取したりする、サイバー攻撃は巧妙になり、サイバーセキュリティの重要性が一層高まっている。

特に、社会インフラのセキュリティ強靭化は喫緊の課題である。多くの企業や組織では、不正通信を個別のネットワークのみで監視していて、多量の正常通信に紛れ込んでいる不審な通信について、それを判別することはこれまで困難だったという。慶應義塾大学中部電力日立製作所は、各々が観測した不審な通信のうちダークネット(未利用アドレス)通信を分析することで、サイバー攻撃の予兆検知ができることを実証した。

今回の実証は、'17年4月から上記3者が取り組んできた共同研究、および慶應義塾大学と日立が昨年2月より進めてきた「分散型セキュリティオペレーション」構想の成果だという。同構想の下、両者が研究してきたインシデント分析ノウハウに基づいて、ダークネット通信の相関分析技術――複数組織に共通して現れるダークネット通信に着目し、個別の組織の観測では目立たなかったサイバー攻撃の予兆を検知する技術を開発。

上記相関分析技術を用いて、この度、慶應義塾大学と中部電力で観測した大量のダークネット通信(2,000万件/日)を分析、このうち極めて少数の通信でもサイバー攻撃の予兆を検知することができ、適切な対処ができた。この予兆検知を、サイバー被害の予防に役立てていく。クラウドプロバイダなどの各組織にあるセキュリティ対応チームが自律分散的にインシデントに対処し、必要に応じて連携するという。

3者は今後も、攻撃の予兆を広範囲に検知し、攻撃内容についてもより詳細に分析できるよう技術開発を進め、サイバーセキュリティ確保と社会インフラシステムの安定運用の確保に資するセキュリティオペレーションの実現に貢献していく構えだ。