NICTサイバーセキュリティ研究所では、「多層防御」の実現に向けて、サイバー攻撃統合分析プラットフォーム「NIRVANA改」の開発と機能拡張を進めている。その中で、構造計画研究所も開発に携わった2つのオプション機能について技術移転を受け、製品化と販売、および今後の機能強化やユーザビリティの向上を担うことになったという。
「CyNote」の概要
・「CyNote」セグメント侵害検知
「NIRVANA改」で収集したトラフィックデータを受信し、パケットの情報に基づき異常なトラフィックを検知。大量のアラートを効率的に処理できるよう、汎用的なファイアウォールとは異なる高機能の不正通信検知エンジンを実装した。これにより、ユーザは集約されたアラート詳細情報を確認できるようになる。メモリプールやプレフィルタリング機能により、大量の通信パケットが瞬間的に発生した場合でも、データの損失なく分析処理することが可能。
・「CyNote」トラフィック再現機構
「NIRVANA改」のトラフィック収集システム(センサ・ゲートシステム)が収集したデータを受信し、ストレージ上に一定期間保存する。ユーザは、トラフィックの異常やインシデントが発生した場合、Webインターフェースを使用し、保存されたデータの中から当該インシデントの発生時刻に遡り特定の再現条件でトラフィックを再現することが可能。任意の時間・条件のトラフィックの挙動を「NIRVANA改」可視化システム上で再確認することで、異常の原因・場所の特定やその対策立案の一助とすることができる。
