アーカイブ

未踏IT人材発掘・育成事業:2020年度採択プロジェクト概要(上田PJ)

最終更新日:2020年6月26日

1.担当PM

  • 竹迫 良範(株式会社リクルートテクノロジーズ 執行役員)

2.採択者氏名

  • 上田 侑真(慶應義塾大学 総合政策学部 総合政策学科)

3.採択金額

  • 2,736,000円

4.テーマ名

  • ソフトウェアのインストールを必要としないNIC型セキュリティ機構

5.関連Webサイト

  • なし

6.申請テーマ概要

ホスティング事業者はログインできないサーバを管理する。マルウェア感染などのインシデントやカーネルパニック等が発生した際には、問題の解析を行う必要があるが、このようなサーバ内のマルウェア感染の検出は上述の制約により既存の手法が殆ど使用できず、難しい。VM Introspectionを用いた検出手法は存在するが、メモリ空間を恒常的に監視しなければいけない、付随する負荷が許容されなければいけない、物理サーバには適用できないなどの問題がある。カーネルパニックについても、コアダンプの出力はユーザの設定に依存し、ファイルシステムが暗号化されていれば顧客が復号しない限りコアダンプが使用できないといった問題がある。

本プロジェクトではこれらの問題を解決する、ネットワークインタフェースコントローラ(NIC)を搭載したPCIeデバイスとサーバからなる、NIC型セキュリティ機構を開発する。PCIeデバイスはDMAによりメモリダンプを取得、プロセス空間を復元し、計算した特徴量や、不自然な割り込みハンドラやコードの書き換えの有無をサーバに送信する。サーバは受信した特徴量からマルウェアの感染を検出し、それを報告する。これにより、事業者はサーバのメモリ空間を一切閲覧せずにセキュリティサービスを提供できる。

プロセス空間を復元するため、ファイルレスマルウェア、パックされたマルウェアの検出、コンテナごとの監視も可能になる。キャッシュヒット率やPCIeの帯域を考慮すると、メモリ-メモリコントローラ、PCIeコントローラ-PCIeエンドポイントまでの帯域は通常のサーバとしての使用では十分な空きがあると考えられるため、CPU負荷のオーバーヘッドは僅かとなる。カーネルパニックが発生してもDMAは可能なため、PCIeデバイス内の顧客の署名を検証し、許諾が得られた場合のみメモリダンプをサーバへ送信することで、事業者はコアダンプと同等の情報を迅速に取得できる。既存のフォレンジックツールではシステムマップを用いてプロセス空間を復元するが、本システムではシステムマップ自体を動的に復元し、OSのカーネルのバージョン情報のみからプロセス空間を復元することができる。

以上により、個々のマシンにインストールされたセキュリティソフトウェアのバージョンを管理する必要がなくなり、セキュリティ機構本体がPCIeデバイスを管理するサーバに集中するため、事業者の管理コストが低減される。本システムにより、世界中のサーバ管理者が一層強固なセキュリティを提供可能となることが期待される。なお、本システムはLinuxを監視対象のOSとして開発するが、他のOSにも応用することは可能である。

7.採択理由

本提案はNIC型の独自PCIeデバイスをFPGAで構築し、DMAを用いてメモリ空間全体のダンプをPCIeデバイスに送信し、コンピュータ側ではなくデバイス側でマルウェア検知を実行する野心的なプロジェクトである。

ホストOSでカーネルパニックが発生した場合でもコンピュータ上のDMA転送機能は有効なため、OSの実行状態に関わらずPCIeデバイスへの常時メモリダンプが可能である。最初はデータセンターでの応用例で概念実証できるかどうか果敢に挑戦してみるが、技術的には汎用的に展開可能なものであり、特定の用途に拘らず幅広く展開していく未来を期待している。

更新履歴

  • 2020年6月26日

    2020年度採択プロジェクト概要(上田PJ)を掲載しました。