NEC NECのスローガン NEC
検索  キーワード検索の文字入力 検索範囲の選択 by Google
ホーム ニュース 会社案内 商品 ソリューション ダウンロード サイトマップ
現在のページの位置: ホーム > プレスリリース > 記事

プレスリリース



未知の攻撃発生時にも無停止でサービスを提供するWebサーバ防御システムを開発

2003年04月11日

日本電気株式会社

NECはこのたび、不審なアクセスに起因するWebサーバのふるまいを監視し、未知の攻撃をうけた場合でも被害を局所化して、無停止でサービスを提供するWebサーバ防御システムを開発いたしました。

このたび開発したシステムは、従来、「攻撃検知」に主眼を置いていたウイルス/ワーム攻撃(注1)対策に、「攻撃防御」という新たな概念を導入するもので、以下の2点により構成されております。

(1) 未知のアクセスを含む不審なアクセスと安全性が確認されたアクセスとを区別し、不審なアクセスのみを専用のアクセス検査サーバに誘導する強化ファイアウォール
(2) 誘導されたアクセスに起因するサーバのふるまいを監視し、攻撃を検知した場合に攻撃元からのアクセスを瞬時に遮断するアクセス検査サーバ

このたび開発したシステムにより、Webサーバのコンテンツ改ざん・不正書き込み等を行なうウイルス/ワーム攻撃を高い確度で防ぎ、無停止サービスを提供することが可能になります。今回、Webサーバのファイル不正書き込みを連続して行なう攻撃(注2)の阻止実験(注3)を行い、従来方式よりも確実に防御することを確認いたしました。

このたび開発したシステムの主な特長は以下の通りです。

  1. 攻撃被害を局所化するアクセス誘導方式

    ファイアウォールにおいて、過去のアクセス履歴に基づく信頼度情報を管理し、信頼度の高いアクセスを正規サーバへ、未知のアクセスを含む信頼度の低いアクセスをアクセス検査サーバへ誘導します。未知のウイルス/ワーム等は自動的にアクセス検査サーバに誘導します。

  2. 未知の攻撃に強いサーバ動作監視方式

    未知のウイルス/ワーム攻撃は、アクセスデータの内容を既知のデータパターンと照合する、という通常の方式では検知できません。そこで、アクセス検査サーバにおいて、攻撃時に必ず生じるサーバのふるまい(データI/Oやシステムコールなどの系列)を監視ルールとして定義しておき、実際のサーバ動作を監視して攻撃を検知します。
    この方式ではアクセスデータを既知ウイルスのパターンと照合する必要がないため、既知・未知の区別なく攻撃検知が可能です。また、どのアクセスによって攻撃が生じたかが特定できるので、適切な防御対策をとることができます。

  3. 連続攻撃の即時遮断

    アクセス検査サーバは攻撃検知をファイアウォールに通知し、攻撃元からの後続アクセスを瞬時に遮断します。実際に、Webサーバの脆弱性をついたファイル不正書き込みを連続して行なう攻撃の阻止実験を実施し、侵入検知ツール(注4)等の従来製品を利用する場合に比べ、より確実に攻撃を防ぐことを確認しました。

  4. 多様なサーバシステムへの拡張性

    本システムの構成は、クラスタシステムへの拡張が容易であり、ユーザアクセスの負荷分散と、攻撃に対する頑健性の強化を同時に実現できます。また、本システムの監視方式は、Webサーバのバックエンドにあるアプリケーションサーバに対する攻撃に対しても有効です。

近年、金融機関のオンラインシステムや製造業の生産管理システム、流通業の物流管理システムなど、オープンミッションクリティカルシステムへの需要が高まっており、常時無停止のシステムの必要性が増しております。しかし、従来の侵入検知ツールやファイアウォールでは、未知のウイルス/ワームの攻撃を検知することが難しい、サーバソフトウエアの脆弱性をついた悪質な攻撃に対処できない、攻撃を検知しても被害を防ぐ機能がないためサービスを継続することが難しい、といった課題があり、市場からは、未知の攻撃を受けても被害を最小限にとどめ、無停止サービスを提供する防御システムへの要望が強まっておりました。このたびの開発は、このようなニーズに応えるものであり、「攻撃検知」から「攻撃防御」へと進化するセキュリティ機能を実現した重要な技術であると考えております。

NECでは今後、本技術を利用した次世代サイバー攻撃防御システムの実用化を進め、セキュリティソリューション「iBestSolutions/Security(アイベストソリューションズセキュリティ)」として平成15年度中の製品化を目指してまいります。

以上


(注1) ネットワークや物理媒体を介してコンピュータに感染し、データ改ざんやサービス妨害をひき起こすプログラムをウイルスとよぶ。特に自己増殖を繰り返して感染するものをワームとよび、Codered,Nimda,Slammer等が知られている。
(注2) サーバソフトウエアのバグ等を利用してウイルスやワームをサーバに感染させる攻撃。
(注3) 「(実際に感染を防いだ回数)/(攻撃を行った回数)×100(%)」の5回試行平均値を実測した。
(注4) インターネットのトラフィックやサーバのログを監視・解析して不正アクセスなどを検知し、警告を出したりトラフィックを遮断するツール・システム。

<本件に関するお客様からの問い合わせ先>

NEC 研究所 研究企画部 企画戦略グループ

電話: (044)856-2054(直通)
e-mail: koho@cl.nec.co.jp


NEC インターネット基盤開発本部

電話: (03)5476-1097(直通)

本文ここまで
ページトップに戻る
プレスリリーストップに戻る
Copyright© NEC Corporation 1994-2003