2015年12月10日、日本電気株式会社(以下:NEC、東京都港区、執行役員社長:遠藤 信博)は、人工知能(AI)技術を活用し、社会インフラや企業システム等に対する未知のサイバー攻撃を自動検知する「自己学習型システム異常検知技術」を開発したことを発表した。
同技術では、PCやサーバなどシステム全体の複雑な動作状態(プログラムの起動、ファイルへのアクセス、通信など)から定常状態を学習(機械学習※1)し、定常状態と現在のシステムの動きをリアルタイムに比較・分析することで、定常状態から外れた場合の検知が可能となる。また、システム管理ツールやSDN※2などを活用することで、該当箇所のみをネットワークから自動で隔離できる。
システム動作の詳細な把握により、従来の人手による作業に比べ、1/10以下の時間で被害範囲の特定が可能となり、システム全体を止めることなく被害範囲の拡大を最小限に抑える高精度な異常検知と防御を実現する。
◆「自己学習型システム異常検知技術」の概要
- 軽量な監視ソフトウェアで詳細なログ情報を収集:
システム動作を監視する従来のソフトウェア(エージェント)は、PCやサーバの動きを遅延させるなどの悪影響を与えることがある。開発した技術では、システムにかかる負荷を常に考慮して、監視処理のタイミングなどを適宜制御する機能を搭載した軽量なものとなるエージェントを採用する。これにより、システム動作を遅延させずに、プログラム起動・ファイルアクセス・ネットワークなどの詳細なログ収集を実現した。
- AIを活用してリアルタイムに異常を検知:
PCやサーバなどシステム全体の複雑な動作状態(プログラムの起動、ファイルへのアクセス、通信など)から定常状態を機械学習し、本定常状態と現在のシステムの動きをリアルタイムに比較・分析することで、定常状態から外れた場合、異常として自動検知する。異常を検知した場合、原因となるシステムの一連の動作を自動で特定し、ネットワークから自動隔離できる。これにより、システム全体を止めることなく被害範囲の拡大を最小限に抑える防御を実現する。
- 被害範囲を特定し、ネットワークから自動的に隔離:
現在のシステムの動きを詳細に把握しているため、異常と検知された一連の動作を時系列で自動追跡できる。これにより、従来の人手による作業に比べ、1/10の時間で被害範囲の特定が可能になる。また、システム管理ツールやSDNなどを活用し、特定した被害範囲をネットワークから切断することで、自動的な隔離も可能とする。これらにより、情報漏洩やシステム破壊の被害の拡大を最小限に抑え、システム全体の停止回避を実現する。
NECでは同技術を社内システムのサーバに適用する実証を行い、模擬攻撃をすべて検知できたことを確認した。今後、発電所や工場など重要インフラ施設のシステムへの適用を目指し、2016年度中に実用化を予定する。
※1 機械学習:人工知能の1つ。人間が行うパターン認識や経験に基づくルール作りなどをコンピュータで実現する技術やソフトウェアなどの総称。
※2 SDN(Software-Defined Networking):ネットワークをソフトウェアで制御する概念。
■リンク
NEC