ネットワークの異常を早期発見、NICTらが開発：マルウェア感染の脅威から社会インフラを守る

情報通信研究機構（NICT）は横河電機および京都大学と共同で、社会インフラの制御システムにおけるネットワーク健全性を確認するためのトラフィック分析・可視化技術を開発した。マルウェア感染などセキュリティを脅かす事象の早期検知が可能となる。

[馬本隆綱，EE Times Japan]

　情報通信研究機構（NICT）は2015年9月、横河電機および京都大学と共同で、社会インフラの制御システムにおけるネットワーク健全性を確認するためのトラフィック分析・可視化技術を開発したことを発表した。マルウェア感染などセキュリティを脅かす事象を早期に検知することが可能となる。

　共同開発した技術は、正常時の通信とは異なるトラフィック状態などが発生した時に、その異常を早期に検知する技術である。

　具体的には、電力・ガス・水道など重要な社会インフラ制御システムのネットワークにおいて、まず正常状態のトラフィックをホワイトリストとして保存しておく。そして、運用中の制御システムネットワークの挙動を、保存したホワイトリストと時系列的に比較する。マルウェア感染時のトラフィック量の変化や、不明なIPアドレスとの通信など、意図しない通信が発生した場合に、その異常を速やかに発見し可視化する仕組みである。

今回開発した技術の概要図 （クリックで拡大） 出典：NICT

　共同開発したシステムには、NICTが開発して、既に技術移転を行っているリアルタイムトラフィック可視化ツール「NIRVANA（NIcter Real-network Visual ANAlyzer）」の技術も、独自の通信プロトコルに対応するなど一部改良して応用されている。この可視化ツールによって、異常を検知した際にトラフィックの状況把握（見える化）が容易となった。

制御システムのネットワーク可視化例。左が正常時、右がインシデント発生時で、中央右側のコントロールルームA内の1クライアントサーバーがマルウェアに感染。攻撃のための大量のトラフィックをネットワーク内に送信している様子を可視化している （クリックで拡大） 出典：NICT

　共同開発した技術は、制御システムの各サーバに対して検出用ソフトウェアをインストールする必要がない。このため、導入が容易であるとともに、制御システムに必要とされる高い可用性に影響を与えずにインシデントの検知を可能とした。

　横河電機は、同社が提供する制御システム向けサイバーセキュリティ対策支援サービス「ネットワーク健全性確認サービス」に、今回開発した技術を活用している。