特別対談

  1. ホーム
  2. 特別対談トップ_page 01
  3. page 09

サイバーレジリエンス時代に求められる
ネットワークフォレンジックス

09今後求められるネットワークフォレンジックスとは

イメージ

【 この対談は2019年10月に開催され、記事内容は当時のものです。何卒ご了承ください。 】

藤原
ここで、「NetRAPTOR」についてご紹介させて下さい。
弊社では15年ほど、ネットワークフォレンジックの技術に関して、独自の製品を企画、開発、販売しています。それがネットワークフォレンジックサーバ「NetRAPTOR」という製品です。
NetRAPTORは、ネットワークの全通信データをパケットキャプチャで記録し、TCP/IPやWebメールのプロトコル解析を行うことで、通信内容を復元します。webの閲覧内容やメールの本文と添付ファイル、またzipファイルで圧縮されたファイルやword、excel、pdfといったアプリケーションファイルの内容から、全てのキーワードを抽出して検索インデックスに格納します。検索キーワードやandやorなどの複合条件を使って、全文検索を行うことができる製品です。
15年前に、内部監査向けの証跡監理ツールとして開発をスタートしたのですが、近年はサイバーセキュリティが非常に重要になってきたこともあり、セキュリティ機能を強化させてきました。今日のお話で、更にサイバーレジリエンスに合わせた強化をしていく必要があると感じています。
ここで、これからのネットワークフォレンジックスに求められる機能が、どのように変わっていくかについて、ご意見をいただきたいです。
門林
そうですね、やはり使いやすい製品が良いですね。
例えばドラレコですが、ドライバーの世代や性別を問わず、どなたでも簡単に使えるようになっていますよね。やはりそういった手軽さは非常に大事です。
藤原
ネットワークの専門家であれば、ある程度複雑なものでも自由に扱うことができます。しかし、ネットワークフォレンジックス製品は、必ずしもネットワークの専門家だけが事件事故の調査を行うわけではありません。ですので、高い技術を持たない方でも、ドラレコレベルで使えるように洗練されていないと、結局、「入れたけどうまく使えない」、「目的としていた調査が進まない」といった事態に陥りますね。
NetRAPTORは、扱いやすさを非常に重視して開発しました。元々は、内部統制ツールとして開発した製品ですので、技術畑ではない例えば総務部の方でも使えるようなものとして企画しています。
また、インシデントが発生した時は、専門家であっても限られた人的リソース、また限られた時間の中で適切な分析を行わなければなりません。このような一刻を争う状況で、いちいちマニュアルを見て使い方を調べるなんてことはできません。こうした面で、「見て、すぐ状況が分かる」「簡単に使える」という事は重要な機能の1つと考えています。導入後、即座に理解し使い始められるものを目標として製品を開発しています。
門林
それは非常に良いですね。インシデントレスポンスでは、いかに「調査や復旧までの時間を短縮できるか」、「調査のミスを少なくできるか」が、重要なポイントになりますからね。
あと、サイバーセキュリティ分野の製品に関して言うと、「サプライチェーン」に関わる問題も無視することができません。ITでは様々な国籍のメーカーの製品やサービスが利用されますよね。しかし、国際情勢が経済も軍事も緊張が増してきている状況では、外国製の製品を必ずしも完全に信用できないというケースがあります。
例えば、「この製品には、バックドアが入っているかもしれない」といった心配をする人達もいます。
藤原
ネットワークフォレンジックスは全ての通信内容が記録されているので、もしそこにバックドアが仕組まれていると、全ての情報が危険に曝されることになりますね。
門林
そうです。仮にバックドアがないとしても、例えば、ある国からの通信が記録されないなどがあり得ます。そうすると、ネットワークを介してスパイ行為を働かれても、「全く把握できていませんでした」ということになりかねない。
藤原
海外メーカーの製品やサービスには非常に優秀なものも多く、実際、日本国内でも数多く使われています。こうした優秀な製品を、適切なところに使っていくのは非常に重要ですが、ことセキュリティの観点でいうと、「安心に使える製品は何か」を見極めなければならないということですね。
門林
セキュリティ製品の国産化については、各国で進められています。欧州でも同じ議論をしています。皆さん、他国の製品は、自国にとって必ずしも信用できるものではないと感じていて、「国産化が非常に大事」ということは国際的な大きな流れになっています。
藤原
セキュリティに関しては自国内で技術を蓄積しながら、自国のネットワークの安全安心を確立していかなければならないと考えられているのですね。
NetRAPTORは、純国産の製品であることも非常に大きな利点です。セキュリティ技術を海外製品のみに頼るのではなく、日本国の製品でお使いいただくことを念頭に、15年以上に渡って国内ユーザー様向けに販売してきました。例えば、ある中央省庁や一部上場企業様にも採用いただいている製品ですので、実績の面でも安心して利用いただけると思います。
また、海外製品でよく見聞きするのが、「製品や運用のサポートに時間かかるケースがある」ということですね。海外メーカーとの間に入る商社では、専門的な製品のことがあまり理解できておらず、メーカーとうまく調整できない場合があるといったことも聞きます。
NetRAPTORは、国内で企画・開発・販売していますので、何かあった場合は開発チームが直接お伺いしてサポートすることもできます。実際、私自身もメインの開発者として、直接お客様のところにお邪魔し、お話をお伺いすることも多いのです。開発者の顔が見えるという面も、純国産であることの安心感だと思います。
加えて、海外製品でよく課題に挙がるのが、日本語の扱いですね。例えば、通信内容を日本語で検索した時に、日本語のキーワードがうまくヒットしない場合があります。原因は、日本語においてUTF8やSJIS、EUCなどの様々な種類の文字コードが使われていることですが、製品側でそれを判別する必要があります。海外製品では、文字コードの判別がうまくできなかったり、そもそも対応されていなかったりする場合があります。
NetRAPTORでは、弊社独自の日本語文字コードの種別判定ツールが搭載されていますので、高精度で判別して日本語の取り扱いをすることが可能です。
門林
どれも大事なポイントだと思いますよ。
実際、御社とは色々なお仕事を一緒にさせていただいて、セキュア開発などのセキュリティ技術に関しても十年以上前から目配りし実践されているのを存じています。そのようなセキュリティ技術に関する実践も非常に大事なポイントだと思います。
藤原
ありがとうございます。社員一同、技術に対するチャレンジを常に心掛けています。
NetRAPTOR以外でも、全文検索ができるネットワークフォレンジックス製品はいくつかありますが、全文検索がオプション扱いになっている場合も多く、機能を有効にするとパフォーマンスが落ちてしまい、実用に耐えられなくなってしまう製品も少なくないんです。
前述の通り、NetRAPTORは簡単に使えることを重視していますので、全文検索は標準機能です。性能面では特にインデックス作成や検索の性能で、各所から高い評価をいただいています。
近年、多くの企業で10Gbpsネットワークが増加していると聞きますので、10Gbpsに対応する製品を近々、発売開始できる様にチャレンジしています。キャプチャだけであれば10Gbpsに対応した製品もあると思いますが、全文検索も含めて10Gbpsのスピードに対応できる製品は、そう多くないと思います。
また、性能に加え運用面での機能も重要です。ネットワークフォレンジックスの製品は大量のデータを扱うため、24時間365日運用を行う場合、うまく動かない製品もあるんです。運用の負荷に耐えるため、複数のマシンに機能を分けて実現するといった製品もよく見かけます。例えば、ある一台はキャプチャ、またある一台は分析と、その処理を1日ごとに交互に切り換えるといった製品ですが、運用面では非常に煩雑になりますよね。
それに対して、NetRAPTORでは、キャプチャ後にプロトコル解析を行い、テープにバックアップした後に、古いデータから順次削除するといったストレージ管理までを、一台のマシンが自動で行う運用機能が搭載されています。
加えて、NetRAPTORではキャプチャからポリシー違反の通信を検知するところまで30秒程度で完了し、即座に解析結果を確認することが可能です。1日ごとにキャプチャと分析を交互に行う製品だと、翌日にならないと検索も通信内容の確認もできないため、対応までの時間としては遅すぎる場合があるからです。
門林
TCOの削減が言われていますが、最初の購入価格だけでなく、実際の運用中にかかるライフサイクルコストも含めて、サービスを選ぶのは大事なポイントですね。
藤原
加えて大規模なサイトへの対応力も重要です。
先ほど、侵入から大きな事故として認識されるまでに半年ほどかかる場合もあるとお伺いしました。そのような状況にも対応できるように、NetRAPTORは、数百Tbyteの巨大なストレージを使い、例えば1年間はオンラインで検索、その後5年間に関してはテープに自動バックアップという運用で、大規模なサイトで長期間の調査に対応する構成も実現可能です。
実際に、大規模サイトでNetRAPTORを運用されているお客様はおられますし、そのお客様規模での実用的に運用可能なネットワークフォレンジクスの製品は、そう多くはないと考えています。
門林
そうした事例はこの場でお話いただくより、別の機会に顧客事例といった紹介記事を作った方が良いと思いますが、そうした機会はありますか?
多くの企業や組織では、数百TByteなり一年間なり、その規模で検索する必要性に気づけていないものです。必要性について、研究者である私が言うのとユーザー企業が言うのでは、その説得力が違いますよ。
藤原
導入している事自体がセキュリティに関わる機微な情報という場合もありますので、なかなか事例紹介をユーザー様にお願いするのは難しいのですが、「こういった大規模でも使われています」といったご紹介は、もっと進めていきたいと思います。

Next Page » セキュリティ連携に生かせるネットワークフォレンジックス

プロフィール
人物 門林 雄基 (かどばやし ゆうき)
奈良先端科学技術大学院大学 情報科学研究科 サイバーレジリエンス構成学 教授
2009年より国際電気通信連合電気通信標準化部門(ITU-T)においてサイバーセキュリティの国際標準化に従事、2013年より同作業部会ラポータ(主査)。
サイバーセキュリティに関する日欧国際共同研究プロジェクト「FP7NECOMA」研究代表者、独立行政法人情報通信研究機構「サイバーセキュリティ研究センター」招聘研究員などを務める。
人物 藤原 礼征 (ふじわら ひろゆき)
トーテックアメニティ株式会社 トーテックサイバーセキュリティ研究所 所長
1974年生・大阪府出身。大阪大学基礎工学部卒業後、大阪大学大学院基礎工学研究科に進むと同時に会社設立。
ソフトウェアアーキテクトとして、ソフトウェアの設計・開発の技術力に内外からの厚い信頼があり、様々な会社や研究機関において研究開発や製品開発に携わる。
2012年「トーテックサイバーセキュリティ研究所」所長に就任。