(邦訳:カーネルメモリ保護とアプリケーション通信の監視による情報漏洩防止に関する研究)
| 葛野 弘樹 (正会員) セコム(株)IS研究所 主務研究員 |
キーワード
| コンピュータセキュリティ | オペレーティングシステム | システムソフトウェア |
[背景]情報システムにおける情報資産管理の普及
[問題]サイバー攻撃による情報資産の漏洩被害が課題として存在
[貢献]OS動作およびアプリケーション通信の監視により情報漏洩の早期検出を実現
公的機関や民間企業等,多くの組織で情報システム上での情報資産管理が行われています.これらの組織では,情報漏洩は大きな課題であり,コンピュータセキュリティ分野において情報漏洩対策ならびに被害軽減のための手法の研究開発が必要とされています.
情報漏洩の要因の中でも,サイバー攻撃は情報漏洩発生の主な原因となっています.攻撃者は,情報資産を管理する情報システムに対して,内部または外部からソフトウェアの脆弱性,ハードウェアの実装の欠落,ならびに弱いユーザパスワード等を使用し,情報システムを構成するネットワークや端末に侵入することで情報漏洩を引き起こします.
サイバー攻撃による情報漏洩対策として,情報システムの構築・運用においては,国際標準や産業種別ガイドラインにおけるセキュリティ要件の適用,組織の担当者に対するインシデントハンドリングのマニュアル整備などが求められています.
情報システムにおいて,技術的に有用な情報漏洩対策の1つとして,多層防御があげられています.多層防御は,入口対策として,情報システムの外部から内部への攻撃監視,内部対策として,内部における制御や監視,そして,出口対策として,内部から外部への通信監視からなり,複数のセキュリティ技術を組み合わせて適用し,相互補完することで,情報漏洩リスクの抑制を実現します.
本研究では,多層防御の高度化を図るため,オペレーティングシステム(OS)の脅威への内部対策,およびアプリケーションにおける脅威への出口対策の2つを着目点としました.情報システムにおいて,オペレーティングシステムとアプリケーションは情報資産を直接的に管理・処理します.OSの実際の動作やアプリケーショントラフィックの識別をリアルタイムで監視することは困難ですが,適切な検出・防止手法を用いることで情報漏洩に繋がる挙動を捉えることが可能であると考え, 以下の3つの課題を設定し,対策手法として研究を進めました.
・オペレーティングシステムにおけるメモリ破壊
OSに監視用の仮想記憶空間を導入し,監視用の仮想記憶空間よりOSのメモリ破壊を検出する手法
・ネットワークトラフィックにおける情報漏洩
Androidアプリケーションのトラフィックを収集,クラスタリングを用いてシグネチャを生成し,情報漏洩に繋がるトラフィックを検出する手法
・不審なアプリケーションライブラリ
グラフ距離アルゴリズムを用いてAndroidアプリケーションのトラフィックから不審なアプリケーションライブラリを検出する手法
研究結果より,多層防御の内部対策と出口対策として,OS層とアプリケーション層に焦点をあてた手法のいずれにおいても情報漏洩に繋がる挙動を把握するための有効性を評価することができました.本研究がコンピュータセキュリティ分野における将来の研究にとって有益となることを願っております.
[貢献]OS動作およびアプリケーション通信の監視により情報漏洩の早期検出を実現
公的機関や民間企業等,多くの組織で情報システム上での情報資産管理が行われています.これらの組織では,情報漏洩は大きな課題であり,コンピュータセキュリティ分野において情報漏洩対策ならびに被害軽減のための手法の研究開発が必要とされています.
情報漏洩の要因の中でも,サイバー攻撃は情報漏洩発生の主な原因となっています.攻撃者は,情報資産を管理する情報システムに対して,内部または外部からソフトウェアの脆弱性,ハードウェアの実装の欠落,ならびに弱いユーザパスワード等を使用し,情報システムを構成するネットワークや端末に侵入することで情報漏洩を引き起こします.
サイバー攻撃による情報漏洩対策として,情報システムの構築・運用においては,国際標準や産業種別ガイドラインにおけるセキュリティ要件の適用,組織の担当者に対するインシデントハンドリングのマニュアル整備などが求められています.
情報システムにおいて,技術的に有用な情報漏洩対策の1つとして,多層防御があげられています.多層防御は,入口対策として,情報システムの外部から内部への攻撃監視,内部対策として,内部における制御や監視,そして,出口対策として,内部から外部への通信監視からなり,複数のセキュリティ技術を組み合わせて適用し,相互補完することで,情報漏洩リスクの抑制を実現します.
本研究では,多層防御の高度化を図るため,オペレーティングシステム(OS)の脅威への内部対策,およびアプリケーションにおける脅威への出口対策の2つを着目点としました.情報システムにおいて,オペレーティングシステムとアプリケーションは情報資産を直接的に管理・処理します.OSの実際の動作やアプリケーショントラフィックの識別をリアルタイムで監視することは困難ですが,適切な検出・防止手法を用いることで情報漏洩に繋がる挙動を捉えることが可能であると考え, 以下の3つの課題を設定し,対策手法として研究を進めました.
・オペレーティングシステムにおけるメモリ破壊
OSに監視用の仮想記憶空間を導入し,監視用の仮想記憶空間よりOSのメモリ破壊を検出する手法
・ネットワークトラフィックにおける情報漏洩
Androidアプリケーションのトラフィックを収集,クラスタリングを用いてシグネチャを生成し,情報漏洩に繋がるトラフィックを検出する手法
・不審なアプリケーションライブラリ
グラフ距離アルゴリズムを用いてAndroidアプリケーションのトラフィックから不審なアプリケーションライブラリを検出する手法
研究結果より,多層防御の内部対策と出口対策として,OS層とアプリケーション層に焦点をあてた手法のいずれにおいても情報漏洩に繋がる挙動を把握するための有効性を評価することができました.本研究がコンピュータセキュリティ分野における将来の研究にとって有益となることを願っております.
(2020年5月29日受付)