NICの研究開発

インフラネットワーク向けセキュリティ研究施策 SHEPHARD 第1回

NIC ネットワーク制御ソフトウェアプロジェクト

北野 雄大(きたの たけひろ)

#セキュリティ#ネットワークソフトウェア#システムソフトウェア

2024/10/31

ネットワークイノベーションセンタ ネットワーク制御ソフトウェアプロジェクトの北野です。

今回は私たちのプロジェクトで取り組んでいるインフラネットワーク向けのセキュリティ関連研究について紹介します。

通信制御ソフトウェアとは?

NTTのような通信キャリアのインフラネットワークにおいて、通信を確立するための重要なソフトウェアの1つに通信制御ソフトウェアがあります。通信制御ソフトウェアは、デジタル信号とアナログ信号の変換処理や再送制御処理、パケットの暗号化処理、無線リソース*1の割り当て管理、ユーザの認証処理、ハンドオーバー*2処理、パケット通信量の測定や速度制限処理などなど、通信の根幹に関わる様々な処理を実施しています。

例えば、5G通信を実現するための通信制御ソフトウェアとして、基地局(DU/CU)や5Gコア(5GC)などで動作するソフトウェアがあります。

通信制御ソフトウェアは通信の根幹に関わる処理を行っているが故に、高精度なセキュリティが求められます。セキュリティが担保されなかった場合、通信サービスの停止やお客様情報の漏洩など、甚大な社会的被害を及ぼす可能性があります。
一方で通信制御ソフトウェアでは大量の通信信号を効率よくさばくために、高度な性能要件が求められます。例えば、基地局で動作する通信制御ソフトウェアの一部は1信号あたりの処理を100万分の1秒オーダで実行することが求められます。

通信制御ソフトウェアのセキュリティ監視における課題

高精度のセキュリティ監視を行う方法の一つとして、オペレーティングシステム(OS)レベルでソフトウェアのふるまいを検知する方法があります。OSはコンピュータを動かす上での基本ソフトウェアであり、アプリケーションのあらゆる動作はOSを介して実現されています。

例えばあるアプリケーションがファイルへの出力を行う場合、writeというOSへの処理命令(システムコール)を介してOSにファイル出力を依頼し、OSが実際のファイル出力処理を実施します。

このようにOSレベルでシステムコールを監視するなどして、アプリケーションソフトウェアのふるまいを監視することで、コンピュータの基幹でディープな挙動を監視することが可能で、様々な不具合やセキュリティに関わる異常動作を見つけることができます。

しかし、OSは常時、多種多様で大量の処理を行っているので、それらの処理をすべて監視するのは非常に高負荷です。何も考えずに通信制御ソフトウェアに対してOSレベルのセキュリティ監視機構を入れてしまうと、監視機構の処理が重すぎて通信制御ソフトウェアの性能が全然出ず、お客様の通信に影響を与えてしまう可能性もあります。

私たちの取り組み SHEPHARDについて

通信制御ソフトウェアに対してOSレベルの高精度なセキュリティ監視/分析/制御を行って高いセキュリティを担保したい一方で、通信制御ソフトウェアの処理性能も担保したい、この相反する要件を両方かなえようというのが私たちのチームの挑戦です。
この挑戦にあたり、私たちはSHEPHARD*3という研究施策に取り組んでいます。

SHEPHARDは通信制御ソフトウェア向けのセキュリティ機構です。
私たちはSHEPHARDの特徴(基本ポリシ)を以下のように定めています。

  • 通信制御ソフトウェアの運用中に高精度なセキュリティ監視/分析/制御を行えること
  • 通信制御ソフトウェアが有する高い性能要件を満たすこと
  • 通信制御ソフトウェア自体の改造は不要であること
  • 通信制御ソフトウェアに潜んでいる未知のセキュリティリスクに対応できること

  • このポリシの元、現在、以下のような新技術確立と社会実装を目指して日々研究に取り組んでいます。

  • 通信制御ソフトウェアの性能要件を満たしながらOSレベルのセキュリティ監視/分析/制御を可能にする技術
  • 通信制御ソフトウェアの開発検証段階で、ソフトウェアに潜む未知の脆弱性を効率的に発見/原因特定/改修する脆弱性検証(ファジング)技術
  • 運用中の通信制御ソフトウェアの脆弱性発見時に、無停止での即時対処を行うホットパッチング技術

  • 本連載では次回以降、これらの新技術確立に向けてキーとなる市中技術や既存研究について紹介していこうと思います。次回の連載もお楽しみに!

    脚注(用語解説)

    *1無線リソース...無線通信を行うための周波数などの通信資源のこと

    *2ハンドオーバー...端末が移動して接続先の基地局が変わること

    *3SHEPHARD...Security Handler for Efficient Protection and HARDeningの略称

    関連するプロジェクト

    プロジェクト一覧へ

    採用情報

    採用情報