独立行政法人情報通信研究機構訪問
(1)インシデント分析センター (ネットワークセキュリティ研究所 5号館3階)
・デモルームにおいてリアルタイムでのサイバー攻撃の状況を見ながらNICTが開発したnicter (Network Incident analysis Center for Tactical Emergency Response)の概要説明を受けた。
Nicterは、インターネットで発生する様々なセキュリティ上の脅威を迅速に把握し、有効な対策を導出するための複合システムで、ネットワー ク攻撃の観測やマルウェアの収集などによって得られた情報を分析し、その原因を究明するシステムで視覚的にサイバー攻撃の模様を確認する事ができ、素人でも分かり易いデザイン性を持つシステムである。
・nicter は、マクロ解析 、ミクロ解析 、マクロ=ミクロ相関分析の 3つのシステムから構成され、得られた分析結果を視覚的にリアルタイム表示するインシデントハンドリングシステムからから構成されている。
・マクロ解析フェーズ
ネットワークモニタリングフェーズではインターネット上で発生する様々なイベント(トラフィックデータや、ファイアウォールのログなど、ネットワーク上で起こった事象の記録)を定常的に収集する。このマクロ解析フェーズでは、ここで得られたデータから振る舞い分析、変化点分析といったアルゴリズムを用いて、実時間でのインシデントの自動検出を行う。
・可視化処理部
サイバー攻撃を分析する担当者に対し直感的なインシデントの検知を可視化するもので、ネットワークトラフィックを3次元的に表示する。可視化処理部では、サイバー攻撃の前段階で行われるスキャンの挙動が分かりやい形状で表現されるため、適切なタイミングでインシデントの判定や各種の詳細分析を開始する事が出来る。
・ミクロ解析フェーズ
ミクロ解析フェーズではマルウェア検体収集フェーズによって得られたウィルスやワームの検体に対して、逆アセンブルによるコード解析や仮想環境内での挙動分析を行い、行動パターンを抽出する。これらの分析情報をデータベースに蓄積しつつ、同時にマルウェアへの耐性を持つワクチンの生成も行う。
・現在、中央官庁や情報通信技術関連の業界団体などによって、いくつかのネットワーク監視プロジェクトが立ち上がっており、NICTもこれらプロジェクトの支援を行っている。しかし、これまでの研究プロジェクトではインシデントを検知することはできても、その発生原因まで追跡することは困難であり、より詳細なイベント分析手法が必要とされていたが、nicterの開発により広域ネットワークでのイベント分析結果とマルウェアのミクロ解析、それとインシデントの発生原因を特定する技術が確立する事となった。NICTで開発された技術は、警察など官庁のみならず、民間企業などにも情報や技術供与を行っており、日本におけるサイバーセキュリティ分野において中核的役割を担っている。
(2)日本標準時(電磁波計測研究所2号館3階)
・NICTの時空標準研究室は、「日本標準時をつくる」、「比較する」、「供給する」と言う三大業務を担当している。
・日本標準時は、周波数安定度が優れているセシウム133を用いた原子時計18台と、4台の水素メーザーを用いて、原子時計相互の時刻差を毎秒計測し、この時刻差データをもとに、原子時計の時刻を1時間に1回、周波数制御することによって、協定世界時であるUTC (Coordinated Universal Time) を生成している。この生成された日本標準時は、グリニッジ標準時から9時間(東経135度分の時差)を進めた時刻となっている。
・この一連の日本標準時生成過程は、コンピュータによる制御によって、すべて自動的に行われます。また、現用・予備用の複数系統で時刻の生成を行っており、機器の故障などで日本標準時が途切れることはない。
・NICTは、協定世界時(UTC)と日本標準時との差が±10ナノ秒(1ナノ秒は10億分の1秒)以内を目標として調整し管理している。その調整は、GPS衛星を用いた時刻比較方式と静止衛星を用いた時刻比較方式を併用しており、高精度な国際時刻比較を行っている。
・日本標準時を供給する業務は、国内2箇所にある長波帯標準電波施設から行っている。1箇所は、福島県の「おおたかどや山標準電波送信所」(福島県・田村市都路町/双葉郡川内村)で、日本発の標準電波送信所で、1999年6月に標準電波(40kHz)の送信を開始。東京電力福島第一原発事故の際には、室長自ら防護服にみを固めて送信所の運営維持を現地にておこなっている。2箇所目の施設は、佐賀県の「はがね山標準電波送信所」(佐賀県佐賀市富士町/福岡県糸島市)で、2001年10月に標準電波(60kHz)の送信を開始している。
・2箇所の長波標準電波送信所は、小金井の電磁波計測研究所が震災などで機能を失った場合のバックアップシステムでもあり、送信所には独自にセシウム原子時計が装備されている。
・現在の原子時計による時間は、地球の運行に基づく天文時間(世界時(UT)に準拠するように調整された人工的な時間であり、これを前述の通り協定世界時(UTC)と言うが、地球の自転速度は、潮汐摩擦などの影響によって変化するため、世界時と協定世界時(UTC)との間には差が生じる。この時差を補正する為に協定世界時(UTC)に1秒を挿入、若しくは削除する事により世界時UTとの差が0.9秒以上にならないように世界同時に調整している。これを「うるう秒」と言い、直近では昨年2012年7月1日午前9時に、3年6か月振りとなる 「うるう秒挿入」 が実施された。これは 「うるう秒」制度が1972年に始まってから25回目である。
(3)合成開口レーダー技術(電磁波計測研究所6号館1階)
・NICTは、航空機搭載型の合成開口レーダ(以下、Pi-SAR2)を開発し、火山噴火や、先の震災などの情報収集に役立たっている。航空機は名古屋にあり、必要に応じて2基のPi-SAR2を搭載して、被災地などへ移動し観測している。予算があれば航空機を増やしたい所だが、そうもいかず必要な時にチャーターして運用している。
・合成開口レーダは、航空機の進行方向に対して斜め下方に電波を照射し、地表面をあたかも航空写真のような画像として観測することができる。光学写真と違い、3cmのレーダ波は、雲や火山の噴煙を透過するので、高高度で観測しても分解能(観測の細かさ)を維持できる。Pi-SAR2は通常6,000mから 12,000mの高さで観測し、分解能は30cmである。最大の特徴は一度に5km-10kmの幅のエリアを観測できる事。
・最近の観測事例としては、平成23年2月22日に噴火した新燃岳の火口を観測した事と、3.11の震災の際には、仙台空港などの観測を実施している。合成開口レーダは、情報収集衛星にも搭載される予定であるが、分解能は非公開である。
・合成開口レーダーは次世代情報偵察衛星に搭載される予定で、勿論分解能は30センチの10分の1以下となるだろう。しかしながら分解能は推測です(笑)