ディレクトリサービス情報とトラフィックデータによるACL自動生成システム

長谷川 皓一  山口 由紀子  嶋田 創  高倉 弘喜  

誌名
電子情報通信学会論文誌 D   Vol.J100-D   No.3   pp.353-364
発行日: 2017/03/01
Online ISSN: 1881-0225
論文種別: 特集論文 (学生論文特集)
専門分野: 情報ネットワーク
キーワード: 
標的型攻撃,  ネットワーク内部分離,  ACL,  VLAN,  ディレクトリサービス,  

本文: PDF(3.4MB)
>>論文を購入


あらまし: 
標的型サイバー攻撃の手口は日々巧妙化しており,攻撃対象専用に設計されたマルウェアの使用により,既存のセキュリティ対策を回避されてしまう.したがって,侵入防止のための対策は効果が薄く,マルウェア侵入後に被害を阻止する対策が昨今は重視されている.このうち,内部ネットワークを複数セグメントに分割しセグメント間の緻密なアクセス制御を行う,ネットワーク内部分離設計に我々は着目している.内部分離設計は不必要な通信の遮断により,マルウェア通信の抑制や通信の形跡による検知,感染端末の容易な切り離し等,様々な利点があるが,構築が困難であるという問題点がある.緻密なアクセス制御を行うためには,全ての端末の必要な通信と不必要な通信を精査する必要があるが,これをネットワーク管理者のみで行うことは困難である.我々はこの問題に対し,ディレクトリサービスの情報及びネットワーク上のトラフィック情報をもとに内部分離設計を構築する手法を提案してきた.本論文では,従来の問題点を改善したプロトタイプシステムを用いて,被験者を交えた評価実験を行うことにより提案手法の有効性を確認した.