2003年6月プレスリリース

2003年6月30日発表

国内初の画期的なパケット逆探知システムの実証実験をN+I2003 ShowNetで実施

　横河電機株式会社（本社：東京都武蔵野市中町2－9－32　社長：内田　勲　資本金：323億600万円）は、開発中の画期的なネットワークセキュリティ手法であるパケット　逆探知システム「PAFFI(パフィ)™ （PAcket Footmark FInder　仮称）」を使い、7月2～4日に幕張メッセで開催されるアジア最大規模のネットワークコンピューティング・イベント“Networld+Interop2003（以下N+I2003）http://www.interop.jp/”の展示会用ネットワーク“ShowNet”で実証実験を行いますので、お知らせします。

N+I2003 ShowNet における「PAFFI™」

　N+I2003 ShowNetにおいては、対外接続線・Showcase出入口などにパケット特徴量を記録する「PAFFI™ Footmarker」を配置し監視を行ないます。
　今回のShowNet 用に開発された、インターネットセキュリティシステムズ株式会社（以下ISS社）の“RealSecure”との連携モジュール「PAFFI™Gate for IDS」は、ShowNetに組み込まれた弊社の不正侵入システム（IDS）「IS900」が検出したアラートイベントを基に、「PAFFI™ Manager」を通じてShowNet上の各所に配置された「PAFFI™ Footmaker」に問合せを行ないます。
　アラートを発生したパケットが実際にどこを通ったものであるかを（たとえ、それがソースアドレス偽装されたパケットであったとしても）、アラートと関連付けて表示し、セキュリティ・オペレータ・センタ（SOC）オペレータが事態に素早く対応するために有効な情報を提供します。
　当社では、ネットワークの最新技術が集結する N+I2003 ShowNet において、「PAFFI™」で具現化したトレースバック技術の有効性を示せること、また改善点を見出せることで、ネットワークセキュリティの向上に一層貢献でき、製品化に向けてより良いフィードバックを得られものと考えております。

開発の背景

　2000 年の米国商業サイトを狙ったDoS攻撃（Denial of Service　サービス不能攻撃) 以来、中小規模のDoS攻撃は日常化し、現在全世界では毎週4,000回以上の攻撃が行われています。一方近年のネットワークのブロードバンド化、高トラフィック化、家庭におけるネットワーク常時接続の一般化により、不正アクセスや DoSの潜在的な脅威はますます高まっています。また、2003年 1月に韓国などで大きな被害をもたらしたSQL Slammer騒動以来、UDP パケットを使ったソースアドレス詐称タイプの不正アクセスが流行する可能性が高まりました。
　このような環境にさらされているインターネットサービスプロバイダ（ISP）、データセンタ、企業ネットワークにおいて、不正アクセスやDoS攻撃等のパケットの組織内発信元や外部からの流入口を瞬時に特定し、出来るだけ攻撃元に近いところで防御したり、直接的に攻撃元に対応する手法が望まれています。
そこで当社は、攻撃元あるいは攻撃経路の特定を行なうパケット逆探知システム「PAFFI™」の開発を進めてきました。

PAFFI™ の特長
１．Hash-based IP Traceback手法による新しい不正パケット逆探知システム
	従来のパケット追跡手法は、ルータのフィルタリング機能を利用して攻撃パケットが実際にそのルータを通過したか否か確認し、次に隣接ルータでも同じ作業を繰り返すという、「試行錯誤しながら隣接ルータをたどる」方法でした。この手法はパケット追跡に時間とスキルが必要となり、効率的な手法とはいえません。また、ルータへフィルタ設定することで、ネットワークパフォーマンスへの影響も避けられません。　「PAFFI™」は、ネットワークの境界等各所に設置した「PAFFI™ Footmarker」により、通過するパケットの特徴情報である“Footmark”を記録・蓄積します。この記録の中から追跡したいパケットの“Footmark”に一致するものを検索することでパケット経路を追跡する方式です。ネットワークやそこに設置されているルータ等のネットワーク機器の設定を変更しないで、瞬時にパケット流入経路を判別することが可能です。

２．ネットワークパフォーマンスに負担をかけずに、迅速に逆探知を実現
	「PAFFI™ Footmarker」は、設置されているネットワーク機器のミラーポートもしくは、ケーブルタップ装置を介して、パケットを監視します。使用しているネットワークにアドオンするだけなので、ネットワークトポロジや実パケットそのものに影響を与えません。

３．プライバシーの保護
	「PAFFI™ Footmarker」は追跡したパケットから特徴情報のみを抽出し、“Footmark”として記録します。“Footmark” はパケットそのものの情報ではなく、また“Footmark”からはオリジナルのパケットのどのフィールドも再現することはできないため、パケット発信者のプライバシーを侵害することはありません。

４．IDS(IDPS)との連携
	IDSとの連携により、IDS で検出した不正パケットを自動的に追跡します。管理者は、不正アクセスに対してより素早くタイムリーに対応できます。今回のN+I2003ではISS社のIDS、RealSecure（リアルセキュア）と連携します。

PAFFI™ を利用することのメリット

　DoS攻撃の手法には、ネットワーク容量を上回る大量のデータを送信するなどして、狙ったWebサーバを停止させる方法、多量の処理をサーバに行なわせメモリなどの処理のためのリソースを大量に消費してサーバを停止させる方法、ソフトの脆弱性を利用してサーバをフリーズまたはクラッシュさせる方法などがありますが、前者２つの方法に関しては、現在行なわれている被害者側のネットワーク上に設置されたファイアウォールなどで、攻撃トラフィックを遮断する防御策では、うまく対処できません。

　そこで、「PAFFI™」によって攻撃源あるいは攻撃経路を特定することにより、攻撃者にできるだけ近いところで防御することが可能になります。また、無差別なDDoS（Distributed Denial of Service）攻撃などは攻撃された個々のユーザで対応するよりも、攻撃者が存在する ISP が対応することで、より効率の良い防御が行なえます。
「PAFFI™」は、今後重要になるこのような『点の防御から、面の防御へ』というコンセプトを強力にサポートします。

今後の展開

　「PAFFI™」の発売は、本年12月を予定しています。ISP／通信事業者などを中心に大規模ネットワークを持つ企業などにも販売活動を行なって参ります。

N+I2003 セキュリティ・オペレーション・センタ　ディレクター
奈良先端科学技術大学院大学門林雄基助教授のコメント

　「Hash-based IP Traceback は、今日のインターネットで運用可能な、現実的なパケット逆探知方式です。技術的には、IPプロトコルのヘッダを拡張したり、プロトコルの解釈に変更を加えることなくパケットの逆探知ができるという点が従来方式に比べて優れています。
　また、パケットの記録を効率的に保持することができるという点も注目すべきでしょう。今年の N+I 2003 ShowNet では、セキュリティ・オペレーション・センタ (SOC) のインフラストラクチャに PAFFI を組み込み、実稼働するギガビット・クラスの高速ネットワークにおいて IDS と連動したパケット逆探知を実現しています。」

以　上

本プレスリリースに関するお問い合わせ先：　　　　　　　　　　　　　
　広報・IR室
　TEL：0422-52-5530　　FAX：0422-55-6492