■ ネットワーク利用状況の変化に応じたネットワーク監視方式の研究

近年、様々な脅威の発生によるセキュリティ被害が増加し、企業や大学などの各組織はセキュリティ対策を強化してきています。一般に利便性とセキュリティはトレードオフの関係であるため、ユーザの望む利便性を保ちつつ、組織が確保すべきセキュリティレベルを維持できることが重要となってきます。

この方式では利便性とセキュリティを定量的な数値で捉え、それを基にセキュリティ対策の変更箇所・内容を決定するため、理論的には対策変更後もネットワークのセキュリティレベルを保つことができます。しかし、実際のネットワークでは理論通りにはいかず、対策を変更することで新たな脅威が発生する可能性があります。その要因として、まず対策変更の対象となる機器の設定が正確に変更されていない、または機能していないことが挙げられます。また、特別利用を申請したユーザ（申請者）が申請通りの利用をしていないことも考えられます。更に、対策が変更された部分を突いた攻撃の成功確率も増加すると予想されます。

そこで、対策変更がネットワークに新たな脅威を発生させていないかを監視するために、監視対象ごとに検討を行い、個々の監視対象を正確に監視する手法について研究を行っています。監視する対象は、対策変更箇所の機器、申請者、ネットワーク全体とし、監視を行うための手段として侵入検知システム（IDS）を用いる予定です。

本研究の想定環境では、監視対象や、脅威判断のルールが頻繁に変化するため、この変化に柔軟に対応できる必要があります。既存の研究や製品は対策が頻繁に変更される環境を想定していないため、本研究でIDSを活用するために、高頻度、高速なルール変更に耐えうる仕組みを検討します。更に、ホストやネットワークを個別に監視しただけでは判断できない脅威も存在するため、高信頼性で効率の良いログの相関分析手法を検討します。

1) 西村啓渡，加藤弘一，勅使河原可海：
利用状況の変化に適応可能なネットワーク監視方式の検討，
電子情報通信学会2009年総合大会通信講演論文集2，p.12，2009.3 

2) 西村啓渡，加藤弘一，勅使河原可海：
情報セキュリティ対策変更に適応可能なネットワーク監視方式の検討，
マルチメディア，分散，協調とモバイル（DICOMO2009）シンポジウム論文集，pp.1240-1250，2009.7  (優秀プレゼンテーション賞)

3) 西村啓渡，加藤弘一，勅使河原可海：
セキュリティ対策変更に適応可能なネットワーク監視システムの設計，
情報処理学会コンピュータセキュリティシンポジウム2009(CSS2009)論文集第2分冊，pp.901-906，2009.10