独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報技術研究部門【部門長 坂上 勝彦】実時間組込システム研究班の戸田 賢二 班長と片下 敏宏 特別研究員および国立大学法人 筑波大学【学長 岩崎 洋一】システム情報工学研究科【研究科長 熊谷 良雄】コンピュータサイエンス専攻の山口 喜教 教授と前田 敦司 助教授は、共同で10ギガbpsイーサのネットワーク侵入防御装置の試作に成功した。これは、筑波大学での研究をもとに、産総研でハードウェア試作を行ったもので、1200種類の検知ルールを10ギガbpsで遅滞なく連続処理し、自動的な防御と漏れのない検知によって大規模ネットワークの安全性を高める装置である(図1)。
併せて、産総研は、東京都立産業技術研究センター、デュアキシズ株式会社、株式会社ビッツらと協力して10ギガbpsイーサのネットワーク模擬攻撃装置を開発した(注)。これは、擬似的な侵入・攻撃を含んだ通信データを連続して10ギガ bpsで生成・送出し、セキュリティシステムで侵入や攻撃が正しく除去されているか検査したり、処理性能の測定を行うための装置である(図2)。
侵入防御装置および模擬攻撃装置とも、FPGA(回路が書き換え可能なLSI)と呼ばれるデバイスを用いる新方式を開発したことにより、世界最高水準の性能と新しい検知ルールへの適応性を両立し、次世代の超高速ネットワーク(百ギガbps)にも対応することが可能になった。
(注)模擬試験装置は、経済産業省の地域新生コンソーシアム研究開発事業による研究「パターンマッチング回路の超高速化とフィルタリング装置への応用」(H16~H17年度)の研究成果を発展させたものである。
ネットワークプロバイダや企業・学校など組織ネットワークへのサイバー攻撃は、サービス不能やホームページの改ざん、情報漏洩など甚大な被害をもたらし、電子化社会の大きな脅威である。実際に、DDoS 攻撃(分散型使用不能攻撃)によってYahoo!、e-Bay、Amazon.comなどの米国大手のWebサイトが長時間アクセス不能の事態に陥ったことがある。また、スーパーボウルのスタジアム公式サイトのハッキングがなされ、アクセスした利用者にトロイの木馬をダウンロードさせる悪質な改ざんがなされたことも記憶に新しい。
このように組織ネットワークはサイバー攻撃にさらされているが、その被害を極力抑えることが組織の信用を高めるだけでなく、利用者を被害から守る観点からも重要である。被害を最小限にするためには、まず、サイバー攻撃を検知し迅速に対処することが必須である。
サイバー攻撃を検知するシステムとして、ネットワーク上の通信データを検査するIDS(Intrusion Detection System、侵入攻撃検知システム)が利用されている。またIDSの派生システムとして、明らかな攻撃は自動的に遮断するIPS(Intrusion Protection System、侵入防御システム)が開発されている。近年では、既知の侵入や攻撃をデータベース化し同様の攻撃を検知する方式(以下、シグネチャ方式と呼ぶ)のSnortと呼ばれるシステムが広く知られている。しかし、Snortはソフトウェアによる処理のためスループットが低く、組織の基幹ネットワークに利用される10 ギガbpsイーサネットの通信データを漏れなく検査する事は困難であった。専用ハードウェアによる高速化されたシステムも開発されているが検査可能な侵入・攻撃の数が少ないのが現状である(注)。侵入や攻撃を見逃さず検知し被害を最小限にするためには、高速ネットワークでも通信データを漏れなく検査し、かつ、多くの侵入や攻撃を検知できるシステムが必要である。
(注)米国Force10社のIDSシステムP10は、Snortの検知ルール650種類を10ギガbpsで処理する。
[ネットワーク侵入防御装置]
1.検知ハードウェアの方式の開発
シグネチャ方式のIDSでは、既知の侵入・攻撃のデータベース(以下、検知ルールと呼ぶ)中の文字列と通信データを1つ1つ照合するパターンマッチングと呼ばれる処理によって検査を行う。例えば、文字列「Attack」が通信データに含まれていれば攻撃と検知する。本研究による検知ハードウェアの方式は、主に以下の3つの工夫がなされている。
(1)高速化に適したNFAを採用
検知ハードウェアは様々な方式が研究されているが、処理速度の向上に有望なNFA(Nondeterministic Finite Automaton、非決定性有限オートマトン)の方式を採用した。NFA方式は回路の並列化により容易に処理速度を向上でき、10ギガbpsイーサネットの通信データを漏れなく検査するハードウェアも達成可能となる。しかし、従来研究されているNFA方式では並列度に比例してハードウェアの規模が非常に大きくなり、少数のルールしか処理できないという欠点があった。そこで次のハードウェア規模の削減方式を開発した。
(2)ハードウェア規模の大幅な削減に成功
検知ルール中の文字列には、アルファベットなどある特定の文字が頻繁に含まれている。従って、頻出する文字を共有化することにより検知ルールを縮小する余地が大いにある。また、文字列の平均長が短く、文字の共有化による効果が大きいと期待される。
このような検知ルールの性質を利用し、検知ルールに含まれる冗長な要素を抽出・共有してからハードウェア化する新方式を開発した。この方式により処理速度を低下させることなくハードウェアの規模を従来方式の半分以下へ削減することに成功した。ハードウェア規模を削減した分多くの検知ルールに対応可能となり、検知可能な侵入・攻撃の数が大幅に向上した。
(3)検知ルールの更新に容易に対応
検知ハードウェアを再構成可能なデバイスFPGAへ実装することにより検知ルールの更新を可能とした。さらに侵入・攻撃の検知ルールから自動的に検知ハードウェアを生成するソフトウェアを開発し、検知ルールの変更を容易にした。
2.侵入防御装置の試作
今回開発した検知ハードウェアの方式を用い、1200種類の侵入・攻撃に対応し10 ギガbpsイーサネットの通信データを漏れなく検査する侵入防御装置を試作した。本装置は10 ギガbpsイーサネットの光インタフェースを2基備えており、基幹ネットワークに設置することができる。検出された侵入・攻撃やネットワーク速度の情報をリアルタイムに通知する(図4)ほか、明らかな侵入や攻撃である通信データは除去することも可能である。試作システムでは全ての侵入・攻撃を除去する設定としている。
|
|
|
図4:侵入防御装置で検出されたサイバー攻撃の通知画面
|
[ネットワーク模擬攻撃装置]
1.模擬攻撃装置の開発
今回開発したネットワーク侵入防御装置は10ギガbpsという非常に高い処理性能を持つため、これを同等の速度で試験する装置が無く詳細な性能評価が困難であった。そこで、10ギガbpsイーサネットの回線速度で攻撃用の通信データを生成・送出するネットワーク模擬攻撃装置の開発を行った。本装置は通信データ送出と同時に試験対象となる装置からの出力を監視して、通信データの中から攻撃データだけが検出・除去されており通常の通信データは通過していることを検証する機能を持つ。
10ギガbpsの速度を実現するため、ハードウェアでネットワーク物理層チップを直接制御する機能を持たせ、さらに、独自に開発したハッシュテーブル方式による通信データの検証機能を搭載した。
開発したハッシュテーブル方式は3つの特徴:(1)通信データの検証処理が高速、(2)小さいハードウェア量で実装できる、(3)通信データの中で攻撃のみが正しく除去されているか検証できる、という特徴を持つ。
この方式では、ハッシュテーブルを用いることでハードウェア量の削減と通信データ記録の高速化を達成している。通信データの出現回数は種類別に分類され、送出と入力それぞれにテーブル上へ記録されており、この2つのテーブルを照らし合わせて通信データの中で攻撃だけが除去されているか検証する。異なる種類の通信データ間で起こるハッシュ値の重なりは、通信データを加工することにより回避している。
2.侵入防御装置を擬似攻撃した試験
試作した侵入防御装置の機能を試験するため、攻撃が含まれた通信データを生成し、模擬攻撃装置を用いて10ギガbpsイーサネットの回線速度で試作システムに入力する実験を行った。その結果の一部を図5に示す。
この実験により、試作装置は全ての攻撃を正しく遮断し、無害な通信データのみ通過させることが10ギガbpsの速度において可能であることが分かり、我々の開発方式による検知ハードウェアの処理速度と機能を実証した。
侵入防御装置及び模擬攻撃装置とも、大変コンパクトで省電力でありながら、超高速ネットワークに対応できることが実証された。すなわち、従来は両装置とも複数のPCからなるクラスタによっても実現し難かった攻撃および防御の性能が、それぞれ一台のPC大の装置によって実現出来た。設置も容易であるため、両装置は、大規模ネットワークのセキュリティを向上させ、安心安全なIT社会の実現に大きな寄与が期待できるものであり、市場の要求も強い。ユーザインタフェースの整備などを進め製品化を急ぐ予定である。