組織へのサイバー攻撃を近未来アニメ風に可視化する「NIRVANA改」、自動防御などの新機能

　国立研究開発法人情報通信研究機構（NICT）は、サイバー攻撃に対抗するための統合分析プラットフォームとして開発している「NIRVANA改（ニルヴァーナ・カイ）」の新機能を発表した。6月10日〜12日に幕張メッセで開催される「INTEROP Tokyo 2015」において動態展示する。

　NIRVANA改では、組織内ネットワークを流れる通信のリアルタイム観測・分析および各種セキュリティ機器からのアラートを集約し、近未来アニメ風に可視化して提示する基本機能を提供している。今回、これに加えて「エンドホスト連携機能」と「自動防御機能」を開発した。

　エンドホスト連携機能は、株式会社FFRIの協力によるもの。同社が提供している標的型攻撃対策ソフト「FFR yarai」と連動して組織内のエンドホスト（PC）群の各種情報を収集。マルウェアのプロセスを特定し、そのプロセスの親子関係や通信履歴などをリアルタイムに導出するという。

　自動防御機能は、株式会社ディアイティの協力によるもの。インシデント発生時、事前定義した動作ルールに従ってファイアウォールやスイッチなどのネットワーク機器を自動制御し、感染ホストの隔離や異常通信の遮断などが行える。エンドホスト連携機能と連動することで、エンドホスト内の特定プロセスの停止なども可能だという。

　NICTによると、「境界防御によるネットワーク系のセキュリティ対策と、アンチウイルスソフトなどのエンドホスト系のセキュリティ対策は独立に運用されることが多く、例えばネットワーク系で組織内に異常な通信が発見された場合、その通信を行っているプロセスをエンドホスト内で特定することは容易ではなかった」という。また、「インシデント発生時には、担当者が物理的に感染ホストをネットワークから隔離するなど、人手を要する現場対応に迫られることが多く、迅速な対応の妨げや、人的コストの増大に繋がっていた」としている。

　今回開発した2つの新機能により、「ネットワーク系とエンドホスト系の2系統のセキュリティ対策が統合されるとともに、防御策の自動展開が可能となり、組織内における情報セキュリティインシデントの詳細な原因究明と迅速な対応の実現が期待できる」。

　NIRVANA改ではこのほか、可視化機能も強化。インターネット全体（/0）からクラスA（/8）、クラスB（/16）、クラスC（/24）ネットワーク、さらにエンドホスト（/32）内へと、ネットワーク系のドリルダウンがシームレスに行えるようになった。セキュリティオペレーションがより円滑になるとしている。