図1: パケットキャプチャシステムを用いたネットワーク診断
インターネットのサービス異常は,一部利用者の集中攻撃によるサービス停止から, 多数の利用者のアクセス集中による応答時間の増加,動画通信やIP電話におけるサービス品質の劣化, ルータ等の設定誤りによる経路障害など,様々な形で現れます. インターネットが社会基盤としての役割を担い始めてきたため, これらのサービス異常が社会生活にも大きな影響を及ぼすようになってきています. 本研究では,このような状況を踏まえて,インターネットを系統的かつ定常的に観測して, インターネットの状態を理解し易い形で可視化するとともに,サービス異常の前兆を捕らえ, 異常を回避,あるいは,異常からの速やかな回復を可能にする方式の基盤技術の開発を目指しています. さらに,ネットワーク全体のアクセス制御方針を セキュリティポリシーとして宣言的かつ形式的に記述できるようにし, このセキュリティポリシーに基づいて, ネットワークアクセスに対する制御,監視,診断の機能の設定を検証するシステムの実現を目指しています.
具体的には,次のような研究に取り組んでいます.
(1) スケーラブルパケットキャプチャシステム(SPACE)の研究
(2) ネットワークアクセス監視機能の設定検証システムの研究
パケットキャプチャシステムは,インターネットの特性を計測し診断するための基本的なツールです. たとえば,図1に示すように,データセンタ,バックボーン,IX(インターネットエクスチェンジ), スパコンセンタなど様々なところで,その用途に応じてネットワークを監視・診断するための基本的な道具立てとなります. それぞれ,サービス応答時間の異常,VoIPや映像ストリームのデータ欠損,経路異常, 流入トラヒック異常の原因究明などのために必要となります. また,一般のオフィスや学校などでも,ネットワークへの侵入やネットワークのサービス停止を狙った 攻撃を発見し,被害の発生を抑えるためにも欠かせない基本的なツールです. さらに,ルータ,スイッチなどのネットワーク装置の開発や試験においても欠かせないツールでもあります.
図1: パケットキャプチャシステムを用いたネットワーク診断
従来,図1に示したような超高速ネットワークでは,長期的,系統的なネットワーク監視は困難であるため, 短期的,部分的な観測結果に基づいて,サービス異常に対する診断を行ってきました.
本研究では,長期的,系統的なネットワーク監視を可能にするため, 超高速ネットワークの運用,制御,管理のための基盤技術として,ギガビットクラス の超高速インターネットを多地点で定常的に監視できるパケットキャプチャシステム の実現を目標にします.具体的には,パーソナルコンピュータ(PC)の通信機構として, パケットの選択的収集機能を備えたネットワークインタフェースを設計開発し, ネットワーク監視システムを構築します.また,複数の監視システムが協調的に動作し, 互いの監視結果を有機的に結び付けて分析する機構を実現します. これにより,複雑な超高速インターネットの動作状態を正確に把握することを可能にし, 超高速ネットワークの運用,制御,管理を容易にします.さらに,超高速ネットワークに対して, 多地点での定常的な監視機構によりはじめて実現可能になる,運用,制御,管理のための 新たな技術の開発に挑戦します.
GbE(Gigabit Ethernet), 10GbE, 2.5G POS(Packet Over Sonet),10G POSを対象に, 以下の意味でスケーラビリティが高いキャプチャシステム (スケーラブルパケットキャプチャシステムSPACEと呼ぶ)の実現を目指します.
具体的には,以下のような研究に取り組んでいます.
図2: スケーラブルパケットキャプチャシステム(SPACE)
安全で安定したネットワークを実現するためには,ネットワークアクセスに対する制御, 監視,診断の機能(NAI(Network Access Inspectors)が不可欠です.NAIには,ファイアウォール, パケットキャプチャ,侵入検出システムなどがあります.ネットワークの規模が大きくなると, NAIはネットワーク内に多数分散して存在し,それぞれ異なる管理者により設定されるようになります. このような場合には,相互の影響も考慮して注意深く各NAIの設定ファイルを作成する必要があります. また,実際のネットワークの構成は刻々と変動するので,管理者はそれに応じて設定を更新しなければ なりません.このため,NAIの設定を正しく維持する作業は困難であり,豊富な経験を有するネットワー ク管理者が多大な時間を費やしても,いわゆるセキュリティホールとして問題が残される場合があります. 本研究では,このような問題に対処するため,ネットワーク全体のアクセス制御方針をセキュリティ ポリシーとして宣言的かつ形式的に記述できるようにし,さらに,セキュリティポリシーに基づいてNAI が正しく設定されていることを検証するシステム(NAI整合性検査システム)の実現を目指しています.
従来,多くのセキュリティポリシーは,自然言語によって記述されています. このため,管理者にとって比較的理解しやすい記述になりますが,記述にあいまい性 が生じる場合があります.また,記述の抽象度が高いため,セキュリティポリシーに 基づいて設計されたAISの設定の妥当性を検査することは困難な作業になります. 一方,IPアドレスやポート番号などの具体的なパラメータを用いてセキュリティポリシーを 記述すると,あいまい性を除去することはできますが,記述量が多くなるとともに, 詳細になりすぎて管理者が理解困難になります.さらに,ネットワークの構成要素が 変動するたびにセキュリティポリシーを変更する必要があるとともに,同様の セキュリティポリシーに従いたくてもネットワークの構成が異なるとその セキュリティポリシーをそのまま用いることができません.このため,具体的なパラメータ を用いてセキュリティポリシーを作成し保守する場合に多大な労力を要することになります.
本研究では,セキュリティポリシーの記述言語とAIS設定検証システムを用いることにより, 管理者はネットワークの詳細や個々のツールの設定を知らなくても,セキュリティコントロール の状態を容易に理解できるようにします.また,ネットワークの構成が変化しても変更の必要がない, あるいは,同じ方針で運用したい場合にはネットワーク構成が異なる場合にも, 同じセキュリティポリシーを適用可能にします.この結果,セキュリティポリシーに基づいて すべてのNAIを設定することにより,個々のNAIに対して個別に設定するよりもセキュリティホール が生じにくいネットワークが実現可能になると期待できます.
具体的には,図3のような構成により,以下の機能の実現に取り組んでいます.
図3: ネットワークアクセス監視機能の設定検証システム
[機能1] ポリシーリフレクタ機能: セキュリティポリシーを実ネットワークに映し出し,ネットワークのノードの属性 (Webサーバ等のサービス種別やIPアドレス等)と接続関係などを用いて, セキュリティポリシーを抽象度の高い記述から,IPアドレスとポート番号を用いた 具体的なアクセスコントロールのルール(このルールを反射ポリシーと呼びます) に変換します.ノードの属性と接続関係をポートスキャンやSNMP等により定期的に 収集してネットマップを作成し,反射ポリシーを一定間隔で更新することにより, ネットワークの構成要素の変動によって生じる設定ファイルの不整合を検出するこ とを可能にします.
[機能2] 反射ポリシーの妥当性検査機能: 反射ポリシーが具体化された表現であることを利用して,反射ポリシーにおける矛盾, 冗長,不足を検出します.また,これらの問題を引き起した原因を遡求することにより, セキュリティポリシーにおける矛盾,冗長,不足を検出します.これにより, セキュリティポリシーの抽象度が高いために生じる,矛盾,冗長,不足の検出が困難で あるという問題を解決して,セキュアなネットワークの実現を可能にします.
[機能3] 反射ポリシーと設定ファイルの比較検証機能: NAIの設定ファイルの内容を実ネットワークに存在するホストの属性と接続関係により, 反射ポリシーと同様の記述形式を持つルールへと変換し,反射ポリシーと比較検証します. これにより,セキュリティポリシーと設定ファイルを直接比較検証した場合には検出できない, ネットワークに実際に存在するのに設定ファイルで記述されていないサービス,あるいは, ネットワークに実際には存在しないのに記述されているサービスがあるといった, 設定の不足や冗長を検出可能にします.このとき,各NAIの設定の意味を空間的, かつ宣言的に表現し,その表現を用いて比較検証する手法を開発します. これにより,ネットワーク管理者は,NAIの動作手順を追いかけることなく,各NAIの相違や 相互作用を容易に理解できるようになります.