2018 Fiscal Year Annual Research Report
A large-scale distributed log operation system considering advanced and diversified security equipments
| Project/Area Number |
15K00115
|
|---|
| Research Institution | Tokyo Institute of Technology |
|---|
Principal Investigator |
松浦 知史 東京工業大学, 学術国際情報センター, 准教授 (00533845)
|
|---|
| Project Period (FY) |
2015-04-01 – 2019-03-31
|
| Keywords | サービス構築基盤技術 |
|---|
| Outline of Annual Research Achievements |
大量かつ多種多様なセキュリティログを効率的に処理し続けるための分散環境を実現するために論理的なID空間の研究を進めてきた。一方でサイバー攻撃の種類やインシデント対応の種類によって、セキュリティログに対する検索要求は大幅に異なり、特定の静的な論理空間では検索パターンを吸収しきれない。言い換えると特定の検索パターンには非常に高速に返答出来るが、他のパターンでは極端に時間がかかったりまたシステム全体に過剰な負荷を与えかねない状況が発生する。検討を重ねた結果、時間軸に基づく分散環境の構築が妥当だと結論づけ、その様な設計思想に合うシステムを実際にSOCに設計/導入し、検証を重ねた。時間軸の制約を持った分散環境では、他の属性(例えばIPアドレス)のみによる検索を行うと全件調査となり効率が極端に下がるが、サイバー攻撃の種類によって要求は異なるものの、数時間から数ヶ月の範囲で時間制約を課しながら検索する事は一般的に問題にならず、幅広いケースで利用でき実際の運用の現場でも利用できる事が示された。
また、今年度はインシデント対応時における知見の蓄積に関しても研究を行った。実際のインシデント対応時には被害の最小化が最優先されるために、将来のための情報蓄積は見過ごされがちである。一方で、事案発生時に担当者がいないと判断が先延ばしになったり、過去の同様の事案であっても一から対策を講じたりと、知見の蓄積がされていないために現場のコストが一層高まっているのが一般的な状態である。どのような粒度および箇所で情報を蓄積すると良いか、現場の負担を考慮しながら蓄積すべきデータの正規化を行った。上記の様に分散環境システムそのものの研究およびシステムを効率的に行うためのデータの正規化という2つの方向性を持って研究開発を進めた。
|
