組織へのサイバー攻撃を近未来アニメ風に可視化する「NIRVANA改」、自動防御などの新機能

　国立研究開発法人情報通信研究機構（NICT）は、サイバー攻撃に対抗するための統合分析プラットフォームとして開発している「NIRVANA改（ニルヴァーナ・カイ）」の新機能を発表した。6月10日～12日に幕張メッセで開催される「Interop Tokyo 2015」において動態展示する。

　NIRVANA改では、組織内ネットワークを流れる通信のリアルタイム観測・分析および各種セキュリティ機器からのアラートを集約し、近未来アニメ風に可視化して提示する基本機能を提供している。今回、これに加えて「エンドホスト連携機能」と「自動防御機能」を開発した。

中央の“モノリス”にエンドホストの情報一覧を表示。“周回軌道”にエンドホスト内のプロセス群を、正常プロセスは青色で、マルウェアのプロセスは橙色で表示。インターネットを表す最外縁の球体表面に、自動防御状況を赤色の六角形で表示している

　エンドホスト連携機能は、株式会社FFRIの協力によるもの。同社が提供している標的型攻撃対策ソフト「FFR yarai」と連動して組織内のエンドホスト（PC）群の各種情報を収集。マルウェアのプロセスを特定し、そのプロセスの親子関係や通信履歴などをリアルタイムに導出するという。

　自動防御機能は、株式会社ディアイティの協力によるもの。インシデント発生時、事前定義した動作ルールに従ってファイアウォールやスイッチなどのネットワーク機器を自動制御し、感染ホストの隔離や異常通信の遮断などが行える。エンドホスト連携機能と連動することで、エンドホスト内の特定プロセスの停止なども可能だという。

「エンドホスト連携機能」では、モノリスの表面にマルウェア検出などの情報を表示

「自動防御機能」で、マルウェアプロセスからの異常通信が自動遮断されている様子

　NICTによると、「境界防御によるネットワーク系のセキュリティ対策と、アンチウイルスソフトなどのエンドホスト系のセキュリティ対策は独立に運用されることが多く、例えばネットワーク系で組織内に異常な通信が発見された場合、その通信を行っているプロセスをエンドホスト内で特定することは容易ではなかった」という。また、「インシデント発生時には、担当者が物理的に感染ホストをネットワークから隔離するなど、人手を要する現場対応に迫られることが多く、迅速な対応の妨げや、人的コストの増大に繋がっていた」としている。

　今回開発した2つの新機能により、「ネットワーク系とエンドホスト系の2系統のセキュリティ対策が統合されるとともに、防御策の自動展開が可能となり、組織内における情報セキュリティインシデントの詳細な原因究明と迅速な対応の実現が期待できる」。

「NIRVANA改」の基本機能と、新機能の「エンドホスト連携機能」および「自動防御機能」

　NIRVANA改ではこのほか、可視化機能も強化。インターネット全体（/0）からクラスA（/8）、クラスB（/16）、クラスC（/24）ネットワーク、さらにエンドホスト（/32）内へと、ネットワーク系のドリルダウンがシームレスに行えるようになった。セキュリティオペレーションがより円滑になるとしている。

ネットワーク系のドリルダウン。エンドホスト内では、モノリスの直近に最上位の親プロセスを配置。軌道半径が広がるにつれ、プロセスツリーの階層が深まる。青線は、プロセスの親子関係を表示