国立情報学研究所の学術情報ネットワークにおける大学・研究機関を対象とした
サイバー攻撃検知システムに「DAMBALLA CSP」が採用
~2017年7月1日より本格稼働~
2017年6月29日
株式会社アズジェント
(JASDAQ・コード番号4288)
【背景】
近年、日本全国の大学、研究機関等を狙ったサイバー攻撃が多発しています。このような状況に加え、
昨年度のサイバーセキュリティ基本法の改正に伴い、NIIは、国立大学法人、研究機関のさらなるセキュリティ強化と
セキュリティ人材の育成を目的に、SINET上にサイバー攻撃を検知するシステムを導入することを決定しました。
NIIセキュリティ運用連携サービス(NII-SOCS)は、サイバー攻撃検知システムを用いて、大学等から
発信される通信に不正なものがないかを監視します。そして、不正通信を検知した際には、攻撃検知システムが
自動で該当する大学に通知を行い、通知のあった大学はネットワークを遮断するといった対策をとることで、
迅速かつ高精度に、効率よく対策を講じることが可能となります。
サイバー攻撃によってマルウェアに感染した端末とC&Cサーバの通信を検知するためには、既知のC&Cサーバのデータを 持つとともに常にそのデータが更新されること、500万台以上の機器のDNSクエリを監視する能力を有することなど 様々な厳しい要件が求められていました。また、一方で限られたリソースで、増え続けるサイバー攻撃に対応する ためには、標的型攻撃等によるマルウェア感染を効率よく特定する仕組みが必要となります。
【NII-SOCS 効率化の切り札】
「DAMBALLA CSP」は、SINETのように複数のネットワークを相互接続する環境に設置したセンサーが
DNSトラフィックを監視し、脅威検知エンジンで分析することにより、C&Cサーバとの通信を検知し、
マルウェア感染端末を特定するマルウェア感染端末検知システムです。その最大の特徴は、膨大なデータを
基にした機械学習にあります。「DAMBALLA CSP」のデータベースは、北米のインターネットトラフィックの55%、
およびモバイルDNSトラフィックの43%に当たる225億件のパッシブDNSレコードをもとにした機械学習による知見の上に
成り立っており、そのデータベースは分単位で更新され続けています。このため
DAMBALLAシリーズは、検知の精度が高く、過検知や誤検知が少ないため、海外においてもプロバイダーや金融機関を
はじめとする多くのグローバル企業で、SOC、PSOCの機械学習型支援ツールとして導入されています。
この学習機能が、前述の要件を満たすシステムとして評価され、「DAMBALLA CSP」が採用されました。
今回の「DAMBALLA CSP」の採用にあたり、NIIのサイバーセキュリティ研究開発センター長である 高倉弘喜教授は以下のようにコメントしています。
「近年のサイバー攻撃において、攻撃者によるマルウェアの侵入を入口対策で完全に防ぎきることは
非常に難しくなっています。このため、ネットワークが既に感染しているかもしれない可能性を考慮して対策に
あたる必要があります。DAMBALLA CSPは、なんらかの方法で感染した端末によるC&Cサーバとの通信を
検知するとともにマルウェア感染端末を特定することができるため、とても重要な役割を果たします。
また機械学習を用いて自動で検知できる仕組みは、国内全体でセキュリティ人材が不足している現状に合致しています。
DAMBALLA CSPが各大学・研究機関が保持する重要な知的財産や個人情報の漏えい防止に寄与することを期待します。」
尚、アズジェントは、国内唯一のディストリビューターとして、コアセキュリティの DAMBALLAシリーズの提供を行うとともに、NII-SOCSと連携する各国公立大学や公共機関等に対して DAMBALLAシリーズを自動化された機械学習ソリューションとして提案していきます。
※1 SINET
Science Information NETwork。日本全国の大学、研究機関等の学術情報基盤として、NIIが構築、運用している情報通信ネットワーク。今回の監視は、国立大学と大学共同利用機関法人に対して実施される。