情報セキュリティ研究開発の動向 : 3.マクロな分析技術の動向
6
0
0
全文
(2) 特 集 情報セキュリティ研究開発の動向. 図 - 1 TALOT2 の仕組み. クセス数の急増/発信元 IP 数の急増を利用したワーム の出現あるいは SYN Flood などの DoS 攻撃を検知する. ②特定アクセスの発信地域別アクセス数の変化観測. ■警察庁 @police インターネット定点観測シス 3) テム @police では,全国 57 カ所の警察施設に設置された. ワーム等の地域別感染活動および収束 (対応) 状況の把. ファイアウォールおよび不正侵入検知システムを利用し. 握やワーム等の発生地域の分析を行う.. て,パケットと不正アクセスの 2 つの視点から観測を行. ③アクセスを発信元 IP ごとに集計し観測. っている.パケット観測では,観測装置としてインター. アクセスパターンの決まっているボット系のアクセス. ネットからのすべての入力パケットを破棄するよう設定. を判別し,状況を把握する.. されたファイアウォールを利用し,この入力パケット. TALOT2 で公表している観測データの一例を図 -2 に. を対象とした集計と,ICMP パケットに関してはメッセ. 示す.2007 年 3 月の期待しないアクセスは,1 つの観測. ージタイプごとの集計をしている.不正アクセス観測で. 点で,1 日あたり 327 の発信元から 1,297 件のアクセス. は,各拠点に設置された不正侵入検知装置(2007 年 1 月. があったことを意味し,不正侵入や脆弱性対策が不可欠. 現在,約 360 種類のシグネチャが登録されている)を利. であるといえる.. 用し,検知された各シグネチャを対象に集計している.. ■ JPCERT/CC インターネット定点観測シス 2) テム:ISDAS. ■サイバークリーンセンター(CCC)の観測シ 4) ステム. Data Acquisition System)は,インターネット上に観測. イバークリーンセンターは,インターネットにおける脅. 装置を分散配置し,ワームの感染活動や脆弱性探索の. 威となっているボットの特徴を解析するとともに,ユー. ためのスキャンなど,セキュリティ上の脅威となるト. ザのコンピュータからボットを駆除するために必要な情. ラフィックの観測を行っている.ISDAS の観測環境は,. 報をユーザに提供する活動を行っている.. TCP,UDP および ICMP パケットを記録する機能を備. また,独自に開発したボット収集装置を用いて収集し. えた観測装置をバックボーン近傍やエッジ等のさまざま. たボットを検体として,ボットの解析ならびに対策技術. なアドレスブロックに分散配置することで,脅威を広域. の開発を行っている.. 2003 年 度 よ り 運 用 し て い る ISDAS(Internet Scan. に捉える構成をとっている.. 708. 48 巻 7 号 情報処理 2007 年 7 月. 経済産業省および総務省の共同プロジェクトであるサ.
(3) 3. マクロな分析技術の動向 1 観測点での 1 日あたりの平均アクセス数と発信元数 1,800 1,590. 1,600 1,437. 1,425. 1,400. 1,378. 1,297. 1,267. 1,200 1,000 平均アクセス数 平均発信元数. 800 600 400. 390. 344. 307. 305. 345. 327. 200 0 06 年 10 月 06 年 11 月 06 年 12 月 07 年 01 月 07 年 02 月 07 年 03 月. 図 -2 1 観測点での 1 日あたりの期待しないアクセス数と発信元数. 140. ソフトウェア製品に関する届出. Webサイトに関する届出. ソフトウェア製品に関する届出(累計). Webサイトに関する届出(累計). 120 四 100 半 80 期 件 60 数 40 20 0. 434. 379. 45. 71. 2005/1Q. 19. 64. 66. 2005/2Q. 33 102. 174. 140. 97. 43 55. 2005/3Q 2005/4Q. 661 455. 419. 277. 211 13. 507. 564. 844. 749. 34 73. 259. 296. 900 800 700 600 累 500 計 400 件 300 数 200. 85 57. 37 97. 123 88. 2006/1Q 2006/2Q 2006/3Q 2006/4Q. 36. 95. 2007/1Q. 100 0. 図 -3 脆弱性の届出件数の四半期別推移. 脆弱性関連情報データベース 日本国内で利用されているソフトウェア製品等の脆弱. ■ JVN( 脆 弱 性 対 策 情 報 ポ ー タ ル:Japan Vulnerability Notes). IPA と JPCERT/CC が 2004 年 7 月から共同運用して. 性についての 2004 年 7 月からの届出状況を図 -3 に示す.. いる JVN は,2 年半の運用を経て,製品開発ベンダの. 届出件数は増加傾向にあり,このような状況を踏まえ国. 脆弱性対策状況を主体としたものから,企業や SI 事業. 内で利用されているソフトウェア製品等に対する脆弱性. 者等の幅広い利用者指向に位置づけを変えてきている.. 対策情報のデータベースの充実が急務となっている.本. JVN での幅広い利用者指向に向けた具体的な取り組み. 章では,IPA での脆弱性対策情報ポータルサイトと,脆. は次の通りである.. 弱性対策情報流通の基盤整備の取り組みについて述べる.. 脆弱性対策情報の拡充 国内で利用されているソフトウェア製品等に対する 1998 年からの脆弱性対策情報を収集・蓄積して,図 -4 IPSJ Magazine Vol.48 No.7 July 2007. 709.
(4) 特 集 情報セキュリティ研究開発の動向 報をさらに価値あるかたちとするため,継続した脆弱性 対策情報の拡充とともに,英語による脆弱性対策情報 の発信,検索機能の高度化,製品開発ベンダに対する JVNRSS の普及などが挙げられる.. ■脆弱性情報流通の基盤整備. 脆弱性対策情報を作成する製品開発ベンダ,調整機関, さらにそれらの情報を利用するシステム運用関係者等に とって,JVN を使いやすく,また効率的に脆弱性対策 情報を流通するための基盤整備も急務である. IPA では基盤整備の一環として,JVN,製品開発ベン ダやニュースサイトが発信するセキュリティ情報の利活 用環境を整備するため,他サイトに掲載可能なフォーマ ットで発信する対策情報表示支援と,サイトから収集し た対策情報同士の関連付けを実現する対策情報収集配信 支援に関する研究開発を推進している. 5),6). .. 対策情報表示支援 対策情報表示支援では,セキュリティ情報を利活用す るための環境整備にあたり,対策情報の概要を記載す るフォーマット(JVNRSS)と詳細を記載するフォーマッ ト(VULDEF:The VULnerability Data publication and Exchange Format data model)を整備した. また,JVN では,2005 年 9 月から JVNRSS での配信 と開発した JVNRSS 表示支援ツールによる他サイトへ の情報掲載を推進中である. 対策情報収集配信支援 サイトから収集した対策情報同士の関連付けを実現 するため,JVNRSS で規定した関連付け情報用のフィー ルドに基づき対策情報のグループ化を実現する情報収集 配信システムを開発した.情報収集配信システムにつ いては,2006 年 6 月から JVNRSS 試行サイト jvnrss.ise. 図 -4 脆弱性対策情報データベース. chuo-u.ac.jp(日本語,英語での情報発信)での運用を開 始しており,各製品開発ベンダや各ニュースサイトにお いて脆弱性対策情報から関連リンク集作成などに応用で きる技術となっている(図 -5) .. に示すように脆弱性対策情報データベース(JVN iPedia) として,2007 年 4 月末に 3,500 件以上を公開するに至っ た.また,対策の優先度を検討する際の参考となるよう,. ■海外の動向. 海外では米国 NIST(National Institute of Standards. CVSS(Common Vulnerability Scoring System)を用い. and Technology:国立標準技術研究所) の NVD(National. た脆弱性の深刻度 (基本値) の提供を開始した.. Vulnerability Database)が 2007 年 4 月末までに約 2 万 4. 使い勝手の改善. 千件の脆弱性対策情報を提供している.. 図 -4 に示すように,大量に蓄積された情報の中から. しかし,セキュリティは利用している製品や対策の考. 必要な脆弱性対策情報を迅速に得ることができる検索機. え方も各国で異なっていることから,海外と連携しなが. 能や蓄積情報の更新をタイムリーに配信する機能,すな. らも日本としての脆弱性対策情報ポータルとして JVN. わち JVNRSS(JVN RDF Site Summary)形式での配信を. を育てていく必要がある.. 整備した. 今後の課題としては,JVN が提供する脆弱性対策情. 710. 48 巻 7 号 情報処理 2007 年 7 月.
(5) 3. マクロな分析技術の動向 . 【 適用事例案 】 各製品ごとに分散して提供されているセキュリティ情報をセキュリティポータルサ イトからリンクしたり,類似の情報を収集して提供する. 製品A JVNRSS ページ X社 セキュリティ ポータルサイト トップページ 更新情報. JVNRSS同士の 関連付け情報. 製品B JVNRSS ページ. JVNRSSで記述 された製品ごとの セキュリティ対策情報. 製品C JVNRSS ページ. 製品A セキュリティ ページ. JVNRSS収集&統合サイト JVNRSS収集&統合サイト ページ生成 ページ生成システム. JVN. 製品B セキュリティ ページ. US-CERT 更新一覧. グループ化した後 一覧ページの提供. JVN情報. US-CERT情報. ・・・. ・・・. ・・・. ・・・. ・・・. ・・・. 更新一覧 2005. 製品C セキュリティ ページ. 2004 2003. 図 -5 情報収集配信システムの適用事例案. 脆弱性情報Webサービス. 脆弱性. 脆弱性検出. 脆弱性管理ツール パッケー ジ構成. 管理対象(Linux). 情報収集. 解決 方策. 分析・計画・実行. パッケ ージ. 脆弱性解決. 図 -6 脆弱性管理支援システム概要. 脆弱性管理支援システム. る場合もある.しかし,最新版に脆弱性がないとは限ら. 膨大な脆弱性情報の中から利用者のシステムにとって. システムやサービスをすぐに停止できない,特定の版を. 重大な脅威となるものを適切に収集し,脆弱性対策を省. 使わざるを得ない,新版の動作確認ができていない,と. 力化するシステムが期待される.一般に,個々の脆弱性. いった理由で更新できない場合もある.すなわち,②に. に対する対策は,①影響ソフトウェアの使用状況の確認,. ついては個別に人間が判断せざるを得ない.. ②解決策の決定(ソフトウェアの更新または削除,サー. 以下に,産業技術総合研究所で開発中の脆弱性管理シ. ビスの停止等),③解決策の実施というプロセスを経る.. ステム. 必要に応じて,④更新後のソフトウェアの脆弱性を確認. Linux 端末を対象として,管理ドメイン全体の脆弱性対. する.脆弱性の数,ソフトウェアの種類,端末数を勘案. 策プロセスを支援する.脆弱性情報をプログラム処理可. すると,対策コストは大きい.. 能な形式で提供する Web サービスと,脆弱性対策プロ. 対策プロセスの① (と④) を管理ドメイン全体について. セスを実行する管理ツールから構成される.. ず,いずれにしろ脆弱性との関連は分からない.さらに,. の機能と特徴を示す(図 -6) .このシステムは,. 7). 一元的に実施できると便利であるが,筆者らの知る限り そのようなシステムはない.③については,オペレーテ ィングシステムのソフトウェア自動更新機能で代替でき IPSJ Magazine Vol.48 No.7 July 2007. 711.
(6) 特 集 情報セキュリティ研究開発の動向 ■脆弱性管理ツール 脆弱性検出 端末のソフトウェア(パッケージ)リストを収集し, Web サービスから取得した脆弱性情報と比較して「脆弱. いる.実現にあたっては,観測装置の相互連携基盤,イ ベント収集・分析活動の情報共有スキームの確立などの さらなる具体化が必要である. (2)脆弱性関連情報データベースの課題. 性 パッケージ 端末」関係をリストアップする.深刻. 中小規模の企業等への適用拡大を考慮して,ユーザご. 度指標(CVSS)を用いて,脆弱性のランキング,深刻度. とのカスタマイズ設定に基づき製品セキュリティの更新. ごとの分布数,ドメイン全体の深刻度指標等を算出する.. 情報を提供するなど,推進してきた研究開発の実運用化. 管理者は,定量的評価に基づいて対策の緊急度や優先度. が挙げられる.. を判断できる.. (3)脆弱性管理支援システム. 対策管理. 社会インフラを支える重要インフラ事業者の情報シス. 解決策の作成(パッケージの更新または削除) とスケジ. テムや制御システムの脆弱性対策は,社会的にもますま. ューリングを GUI で行う.対策の履歴管理を行い,脆. す重要な課題となってきている.特に,制御系システム. 弱性検出の時間的変化を追跡できる.. など停止することができない環境の中での対策をどう確. パッケージ管理. 実に実施していくかなどが課題として挙げられる.. 端末で動作する管理エージェントは解決策を取得し, パッケージの更新・削除を実行する.パッケージ間の依 存関係は自動的に解決する.. ■脆弱性情報 Web サービス 脆弱性情報共有 プログラム処理可能な XML 形式で脆弱性情報を提 供する.アクセスプロトコルは,XML-RPC,SOAP, REST(HTTP)を利用でき,汎用的な検索と脆弱性検出 インタフェースを持つ.Web サービスアーキテクチャ を採用しているので,クライアント側の動作環境やプロ グラミング言語を制限しない.脆弱性情報自体は,実験 的に既存のものを利用している.NIST NVD と OSVDB (The Open Source Vulnerability Database)をマージした 約 14,000 件で運用実験中である.. 参考文献 1) ( 独 ) 情 報 処 理 推 進 機 構:I PA に お け る イ ン タ ー ネ ッ ト 定 点 観 測 に つ い て,http://www.ipa.go.jp/security/txt/2007/documents/ TALOT2-0703-kaisetsu.pdf 2)JPCERT コーディネーションセンター:インターネット定点観測シス テム,http://www.jpcert.or.jp/isdas/ 3)警察庁:インターネット定点観測システム,http://www.cyberpolice. go.jp/detect/observation.html 4)サイバークリーンセンター,http://www.ccc.go.jp 5)寺 田 真 敏 他:JVNRSS を 用 い た 脆 弱 性 対 策 情 報 の 流 通 , CSS2006, pp.85-90 (2006). 6)菊地大輔 他:マルチベンダ環境の情報システムを対象とした脆弱性管 理システムの検討 , CSS2005, pp.667-672 (2005). 7)中村章人 他:XML と SOAP によるセキュリティ関連情報 Web サービ ス , 情報処理学会 第 65 回全国大会 , pp.3.195-3.196 (2003). (平成 19 年 5 月 18 日受付) 小林偉昭(正会員)[email protected] 1970 年早稲田大学理工学部応用物理科卒業,1972 年東京工業大学理 学部物理学専攻修士課程修了.同年(株)日立製作所入社.2006 年情 報処理推進機構セキュリティセンター出向.. 脆弱性検出. 寺田真敏(正会員)[email protected]. パッケージリストを入力として「脆弱性 パッケージ」. 1986 年千葉大学大学院工学研究科修士課程修了.同年(株)日立製作 所入社.博士(工学).2004 年から JPCERT/CC 専門委員,中央大学 研究開発機構客員研究員,同年から情報処理推進機構セキュリティセ ンター研究員を兼務.. 関係をリストアップする.. 今後の方向 マクロな視点でのインシデント発生状況や動向の把握 に関する現状と研究活動について紹介した. (1)インターネット定点観測システムの課題 国内さらにアジアを先導し,全世界的な視点でのイン ターネット定点観測システムが必要な時期になってきて. 712. 48 巻 7 号 情報処理 2007 年 7 月. 永安佑希允 [email protected] 2005 年東京大学大学院修士課程修了.同年(株)ラック入社.現在,情 報処理推進機構セキュリティセンターにて脆弱性の技術的分析に携わ るかたわら,JVN iPedia の立上げに参画. 中村章人(正会員)[email protected] 1994 年東京電機大学大学院博士課程修了.同年電子技術総合研究所入 所.2001 年産業技術総合研究所に転任,情報技術研究部門主任研究員. 分散システム,コンピュータセキュリティなどの研究に従事..
(7)
関連したドキュメント
市民・市民団体 事業者 行政 施策の方向性 啓発や情報提供. ○
〔概要〕 広報「ひらかた」、水道局ホームページ ほかマスメディアを活用し、事業の情
全国の 研究者情報 各大学の.
テキストマイニング は,大量の構 造化されていないテキスト情報を様々な観点から
当社は、お客様が本サイトを通じて取得された個人情報(個人情報とは、個人に関する情報
「系統情報の公開」に関する留意事項
【原因】 自装置の手動鍵送信用 IPsec 情報のセキュリティプロトコルと相手装置の手動鍵受信用 IPsec
Google マップ上で誰もがその情報を閲覧することが可能となる。Google マイマップは、Google マップの情報を基に作成されるため、Google
