数十ギガ～数テラbpsの超高速ネットワークに対応するセキュリティー装置

　独立行政法人 産業技術総合研究所【理事長 野間口 有】（以下「産総研」という）知能システム研究部門【研究部門長 比留川 博久】統合知能研究グループ【研究グループ長 神徳 徹雄】戸田 賢二 主任研究員、情報技術研究部門【研究部門長 関口 智嗣】センサーコミュニケーション研究グループ 高橋 栄一 研究グループ長らは、株式会社 KDDI研究所【代表取締役所長 秋葉 重幸】と共同で、数十ギガ（10⁹）～数テラ（10¹²）ビット毎秒（bps）の超高速ネットワークに対応したセキュリティー装置を開発した（図1）。

　この装置は、専用に開発した60ギガbpsの光通信機能（10ギガビットイーサネットポート×6）を備えたFPGAボード（図2）をベースとしており、有害サイトの遮断、ネットワーク侵入の遮断、コンピューターウイルスの遮断、パケットキャプチャーなどの機能を搭載できる。このFPGAボードはPCI-Expressカード型であるため、1台のPC内で複数枚使用でき、簡単に規模を拡張できる。よって数十ギガbps～数テラbpsの通信速度でセキュリティー対策ができる。また、本装置の応用例として、パケットキャプチャーによって収集する通信情報と外部の信頼情報を組み合わせることにより、有害サイト遮断のためのフィルタリングリストを自動的に生成・配信するシステムを開発した。

図1 開発したネットワークセキュリティー装置

図2 拡張可能60ギガbps光通信FPGAボード （15 cm × 27 cm）

　情報通信インフラは、現代社会の主要な柱となっているが、Webサイトの改ざん・情報漏洩、なりすましによって銀行口座やクレジットカード情報などを詐取するフィッシングサイト、DoS攻撃などによるサービスの停止、コンピューターウイルスなど「悪意のある通信」による被害が大きな社会問題となってきている。今後は、高精細の画像・映像の配信、スマートフォンやタブレット型端末の普及など、通信が高速化かつ広帯域化し、また、エネルギーの制御に情報通信技術を用いることも期待されており、通信速度とともに安全性の確保が不可欠である。このような情報量の増大に伴い、ソフトウエアによるセキュリティー対策では、本来のPCとしての機能の大部分をセキュリティー対策に占有されてしまうので、個人レベルでの対策には限界がある。この状況に対処するためには、情報通信サービスやデータセンターなどの超高速ネットワークで、「悪意のある通信」をエンドユーザーに渡る前に遮断する技術の開発が必要である。また、有害サイトは、短期間で発生と消滅を繰り返すため、これまでの人間による確認作業では追いつかず、即時性のあるフィルタリングリストの収集更新が課題となっている。

　産総研は、これまで大規模ネットワークの安全性を高めるため、ネットワーク侵入遮断装置やコンピューターウイルス遮断装置の開発を行ってきた。本研究開発は、総務省 戦略的情報通信研究開発推進制度「超高速ネットワークに対応した悪意のある通信の遮断技術の研究開発(072003008)」（平成19年度～平成21年度）により実施されたものである。

　今回、開発を行ったネットワークセキュリティー装置のハードウエアは、専用に開発した拡張可能な60ギガbps光通信FPGAボード（図2）およびPCで構成される。今回開発したFPGAボードは、有害サイトの遮断、ネットワーク侵入の遮断、コンピューターウイルスの遮断など高速ネットワークへの応用を行うことを主眼としたもので、10ギガビットイーサネットポートを6ポート、フィルタリングリストなどの処理データを格納するためのDRAM（Dynamic Random Access Memory）用ソケットを2個搭載している。さらにハードディスクなどへデータを蓄積するためのSATA（Serial Advanced Technology Attachment）を8ポート備えている。PCとの接続にはPCI-Expressを用い、内蔵カードとして使用する。図1は、PCのPCI-Expressソケットに本ボードを装着したネットワークセキュリティー装置の試験中の様子である。ネットワークセキュリティー装置には、有害サイト遮断、侵入遮断、コンピューターウイルス遮断、パケットキャプチャーの各回路を搭載でき、さらに自動フィルタリングリスト生成ソフトウエアをインストールできる（図 3）。

図 3 ネットワークセキュリティー装置の概要

• 有害サイト遮断
  　現在、コンピューターウイルスに感染させるサイトやフィッシングサイトなどの有害サイトが問題となっており、企業などの組織ネットワーク内における遮断が必須となっている。しかし、有害サイトは短期間で発生と消滅を繰り返すため、フィルタリングに用いるブラックリストの収集更新が課題であった。そこで、パケットキャプチャーした情報と外部の信頼情報を組み合わせて、候補となるURLを自動的に生成・配信するシステムを開発した。
  　フィルタリングリストとの高速マッチングを実現するエンジンについては、必要なメモリーのバンド幅を押さえることのできるハッシュとバイナリーサーチを組み合わせた方式を考案し、60ギガbpsを超える性能を達成した。フィルタリングリストは、上記の自動生成・配信システムの実験によって得られた34,000個のURLを用いたが、リストを格納しているメモリーは4ギガバイトであり、ハッシュ値の重複時はバイナリーサーチを用いるため、大規模データにも十分に対応できる。
   
• ネットワーク侵入遮断
  　攻撃に関する情報が登録されたシグネチャとパケットとを比較して、シグネチャに適合する場合に検知もしくは遮断する。ネットワーク侵入検知システムのソフトウエアのひとつであるSnortにおけるシグネチャのサブセット1200個を採用し、非決定性有限オートマトンとその並列処理によって、1ポートで10ギガbpsを実現した。3ポートを並列に処理することにより30ギガbpsの速度を達成できる見込みである。
   
• コンピューターウイルス遮断
  　コンピューターウイルスのシグネチャとパケットを比較して、シグネチャに適合する場合に検知もしくは遮断する。アンチウイルスソフトのひとつであるClamAVのシグネチャが使用可能であり、パケットとシグネチャの適合判定回路の並列化によって、旧型のボードでは、6.4ギガbpsの処理速度を実現した。今回開発したボードでは、シミュレーションにより、1ポートにつき10ギガbpsの速度を確認した。3つのポートを並列に処理することにより30ギガbpsの速度を達成できる見込みである。
   
• パケットキャプチャー
  　通信路を流れるパケットをハードディスクなどの記録媒体に書き込む機能である。ボード1枚当たりSATAでハードディスク8台に同時にアクセスできるため、十分な書き込み速度が期待できる。RAIDやSSDなど高速なディスクを用いれば10ギガbpsでの記録が可能である。
   
• ボードの組み合わせにより機能と性能を自由に向上可能
  　今回開発したボードは、60ギガbpsという広帯域の光通信機能を備えているため、ボード間の接続の自由度が高く、ボードを複数組み合わせることで、必要な機能と性能を提供できる高い拡張性を有している。有害サイトの遮断、ネットワーク侵入の遮断、コンピューターウイルスの遮断の3種類の機能が必要であれば、各機能を搭載したボードを3枚直列に接続すればよく、デスクトップPC 1台に内蔵することができる。有害サイト遮断専用であれば、ボード1枚の処理速度は60ギガbpsであるため、17枚を並列に使用することで、1テラbpsの性能が得られる。PCI-Expressが6枚装着可能なマザーボードを用いれば、3台のデスクトップPCで1テラbpsが処理可能となる。また、本ボードはSATAでハードディスク8台に同時にアクセスでき、PCI-Expressや10ギガビットイーサネットで、複数組み合わせて利用することが可能である。

　今回開発したネットワークセキュリティー装置は、コンパクトかつ省電力でありながら、テラbpsの超高速ネットワークに対応できることが実証された。本装置は設置も容易であるため、大規模ネットワークのセキュリティーを向上させ、安心安全なIT社会の実現に大きな寄与が期待できる。今後は、実際の使用状況を模擬した試験を行い、製品化を目指す予定である。また、本装置はFPGAの回路の書き換えにより、ルーター、スイッチ、ネットワークカード、ネットワークストレージなどの幅広い応用が期待される。

◆ビット毎秒（bps）

情報伝送能力の単位であり、1秒間に伝送されるビット数を表す。10ギガbpsは、CD-ROMを1秒間に約2枚転送することのできる速度で、1テラbpsは、DVDを1秒間に約26枚転送することのできる速度。日米間の光通信回線容量は、現在1.28テラbpsである。[参照元へ戻る]

◆イーサネット

イーサネットとは、コンピューターネットワークの通信規格のひとつで、OSIモデルにおけるデータリンク層にあたる。オフィスや家庭内からインターネットのコアに至るまで、幅広く使用されている技術規格である。[参照元へ戻る]

◆FPGA（Field Programmable Gate Array）

FPGAとは、論理回路が書き換え可能なLSI（高密度集積回路）チップのことである。一般のLSIは製造後に機能を書き換えることができないが、FPGAは論理素子レベルでの再構成が可能で、機能を自由に変更できる。[参照元へ戻る]

◆パケットキャプチャー

イーサネットでは、パケットと呼ばれる単位で情報が送受信されている。パケットキャプチャーとは、通信路を流れるパケットの全てもしくはヘッダの一部をハードディスクに記録することである。通常は、スイッチやルーターにおいて、通信を複製してパケットキャプチャー装置に入力することによって実施する。[参照元へ戻る]

◆PCI-Express

パソコン用高速シリアルインタフェースの規格である。マザーボードとグラフィックカードなど拡張ボード間の接続に用いられる。[参照元へ戻る]

◆フィルタリング・フィルタリングリスト

有害情報などを掲載している特定のWebサイトやアドレスへのアクセス要求を遮断し、アクセスできないようにすること。WebサイトのIPアドレス、ドメイン名、URLをフィルタリング対象のリストとしてあらかじめ登録する。[参照元へ戻る]

◆DRAM（Dynamic Random Access Memory）

コンデンサーとトランジスタにより電荷を蓄える回路を記憶素子に用いたメモリー。回路が単純で、集積度も簡単に上げることができ、価格も安いため、コンピューターのメインメモリーはほとんどがDRAMである。[参照元へ戻る]

◆SATA（Serial Advanced Technology Attachment）

パソコンとハードディスクなどの記憶装置を接続する高速シリアル通信規格「IDE(ATA)規格の拡張仕様」で、現在も最も多く使われている。[参照元へ戻る]

◆ハッシュ

さまざまな種類や長さを持ついくつかのデータを整理するとき、ある計算によって固定の長さのデータ（ハッシュ値）に変換する方法。計算方法をハッシュ関数と呼び、ハッシュ値で参照するテーブルのことをハッシュテーブルと呼ぶ。[参照元へ戻る]

◆バイナリーサーチ

探索空間を毎回2分割できるようにする探索方法であり、2等分できる場合は最速の探索方法である。[参照元へ戻る]

◆シグネチャ

侵入検知システムやアンチウイルスソフトウエアでは、攻撃の情報をシグネチャとして登録して、シグネチャに適合するファイルやパケットを攻撃と判断する方式が主流である。侵入検知システムでは、攻撃に固有のビット列やバイト列がシグネチャとして利用される。また、アンチウイルスソフトウエアでは、実行ファイルのハッシュ値がシグネチャとして利用される。[参照元へ戻る]

◆Snort

ソフトウエアによる侵入検知システムのひとつ。オープンソースであるため広く用いられている。シグネチャが理解しやすいために、新たな攻撃手法が発見されると早急に新しいシグネチャを作ることができる特徴を持つ。[参照元へ戻る]

◆非決定性有限オートマトン

文字列のパターンマッチング処理で用いられているアルゴリズムのひとつ。ソフトウエアに比べて、ハードウエアによる実装が比較的容易であり、並列化による処理速度の向上ができる。[参照元へ戻る]

◆ClamAV（Clam Antivirus）

Clam Antivirusは、オープンソースのアンチウイルスソフトのひとつ。シグネチャによるウイルス検知方式を採用している。[参照元へ戻る]

◆RAID（Redundant Arrays of Inexpensive Disks）

複数のハードディスクを用いて仮想的に1台のハードディスクを構成する技術。耐故障性やアクセス速度の向上が行える。[参照元へ戻る]

◆SSD (Solid State Disk)

フラッシュメモリーをディスクの記憶素子として用いたもので、可動部分がなく、アクセス速度が速く、衝撃にも強い。シリコンディスクとも呼ばれる。[参照元へ戻る]