情報通信研究機構(以下、NICT)サイバーセキュリティ研究室は、サイバー攻撃統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」を機能強化し、インターネットの通信プロトコルIPv4の後継規格であるIPv6への対応を完了したことを発表した。
今回、IPv6の膨大なアドレス空間を流れるパケットのリアルタイム可視化に世界で初めて成功したという。これまでNIRVANA改は、IPv4通信のみを観測・分析の対象にしていたが、新たにIPv6通信に対応することで、より多様で広範なネットワークのセキュリティ対策に役立てられることが期待できるとしている。
[画像クリックで拡大]
縦横に並んでいるオレンジ色の各パネルは、IPv6による通信が観測されたアクティブなIPアドレスブロックを示している(この図では/16)。水色の三角錐のオブジェクトはIPv6パケットを表しており、1パケットごとのリアルタイム表示や、IPアドレス/ポート番号でのフィルタリング等の柔軟な可視化設定が可能だという。
今回の成果
NIRVANA改を機能強化し、システム各部(通信観測部、アラート収集部、可視化部、等)がIPv6に対応した。特に可視化部では、通信が観測されたアクティブなIPアドレスブロックを動的に逐次追加していくことで、膨大なIPv6のアドレス空間を効率的に可視化することに成功している(図1~4参照)。
また、IPv6のアドレス空間の階層構造における現在位置の視認性を上げるため、インディケータを新たに実装(図2右端参照)。さらに、セキュリティ機器から発報されたIPv6関連のアラート情報にも対応し、IPv6アドレスによるフィルタリング等も可能になったという(図2参照)。
[画像クリックで拡大]
中央のパネル群はIPv6のアドレス空間の全景(/0)であり、六角形のアイコンはセキュリティ機器から発報されたアラートを示している。画面右端のインディケータはIPv6空間の階層構造における現在位置(赤矢印)と、各階層に含まれるアドレスブロック数を示している。
[画像クリックで拡大]
あるセグメントの中で新たなIPアドレスからの通信が観測されると、そのアドレスを含むIPアドレスブロックが動的に追加されるという。この図では2001:0:5d7a::/48のパネルが回転モーションと共に追加されている。なお、追加されたパネルは自動でソートすることも可能。
[画像クリックで拡大]
NICTが運用している時刻サーバ(ntp.nict.jp)におけるIPv6通信を可視化したものである。広範な送信元IPアドレスから大量のUDP(赤)パケットが2つのIPv6アドレスに去来している様子がわかるという。
NICTは、NIRVANA改がIPv6通信に対応したことによって、システムの適用範囲が大きく広がり、IPv6ネットワークにおけるセキュリティオペレーションの簡易化が期待できるとしている。IPv6に対応したNIRVANA改は、既に民間企業への技術移転が進められているとしている。
【関連記事】
・NECや東芝、NICTなど5者が国内初となる量子暗号技術の共同検証へ
・2018年のサイバー攻撃関連通信は前年比で約1.4倍の増加――NICTが「NICTER観測レポート2018」を公開
・構造計画研究所、サイバー攻撃統合分析プラットフォーム「NIRVANA改」を補強する「CyNote」を販売開始
