- PDF Free Download

Size: px

Start display at page:

Download ""

やすはるいさやま
5 years ago
Views:

1 資料 5 NEC の考える分散システムとセキュリティ 2016 年 05 月 19 日日本電気株式会社

3 目次 1. NECの考える分散システム 2. 分散システムの課題とセキュリティ 3. 分散システムを支える技術 3.1 通信仮想化技術 3.2 学習型システム異常検知技術 3.3 秘密計算技術 3.4 秘密分散技術

4 1. NEC の考える分散システム

5 IoT 時代の到来 : 進化したデバイスがインターネットに繋がる社会産業ホームつながるデバイス数 ( 個 ) 個の内面 1 兆 (2020 年 ) ウェアラブル IoT:(Internet of things ) の世界需要通し 308 兆円出典 :JEITA: 電子情報産業の世界生産通し (2020 年 ) 5 NEC Corporation 2016

6 IoTで拡大する市場従来つながりが無かったモノコト同士が容易につながり価値を生む時代へ IoT 時代の市場新たな社会価値創造の機会クラウド時代の市場スマートファクトリスマートエネルギースマートファームスマートモビリティ 6 NEC Corporation 2016

7 ICT プラットフォームの強化ポイント NEC が考える IoT の 5 層モデル速精度な分析処理クラウドコンピューティングデータの利活分散協調型処理広域ネットワークエッジコンピューティング IoT 連携制御処理デバイス仮想化近距離ネットワークデバイスコンピューティング実世界との接点セキュリティ統合運管理 7 NEC Corporation 2016

8 NEC の ICT プラットフォームの変遷メインフレーム時代クライアントサーバ時代クラウド時代 IoT 時代 CPU クライアントサーバ ( オンプレミス ) クラウド ( 仮想化基盤 ) NEC Cloud IaaS コトクラウドメインフレーム Express 5800 第 4 の波 ACOS 第 3 の波分散協調型処理第 2 の波集中処理エッジコンピューティング第 1 の波分散処理集中処理構造 + 非構造化データ I/O 構造化データ構造化データ非構造化データモノヒトダム端末パソコンスマートフォンタブレットセンサ / デバイス 8 NEC Corporation 2016

9 エッジコンピューティングの必要性量不安定な実世界データが増次処理でシステム負荷を削減ナレッジベースのリアルタイム処理を実現しシステム適応範囲を拡 Before クラウドコンピューティングクラウドコンピューティング処理量削減 After ナレッジ処理量増大不安定ノイズ処理遅延サービス遅延エッジコンピューティングの導入有効データ抽出ナレッジベースリアルタイム処理エッジコンピューティングデバイスコンピューティングデバイスコンピューティング 9 NEC Corporation 2016

10 分散協調型処理の必要性必要な場所に必要なサービスをリアルタイムに提供するにはデータ特性やネットワーク状態に応じソフトウエアが最適動作する分散協調型処理が必要移動実型アプリ #1 分割実型アプリ #2 他クラウドアプリケーションデータポリシーアプリ #3 クラウドコンピューティングアプリ #1 アプリケーションデータポリシー状況により実階層が変化エッジコンピューティングアプリ #2 データ及び通信帯域圧縮抽象化と実世界制御 5 層内の最適な場所でアプリケーションが動作アプリケーションデータポリシーデバイスコンピューティングアプリ #3 10 NEC Corporation 2016

11 エッジコンピューティングの強化従来の M2M に加えヒトの知覚や経験をデジタル化しナレッジへモノとヒトのナレッジを融合し新しい価値を提供エッジコンピューティングナレッジ化クラウドコンピューティング有効データ抽出エッジコンピューティングセンサ知覚経験をナレッジ化物識別物体識別動分析 RAPID 機械学習 Deep Learning 異種混合学習インバリアント分析テキスト含意分析知覚のデジタル化デバイスコンピューティングデジタル化される知覚視覚性別年齢動形状聴覚振動音声声紋臭覚呼気化学物質検知エッジコンピューティングノウハウをナレッジ化し実世界を制御デバイス 11 NEC Corporation 2016

12 2. 分散システムの課題とセキュリティ

13 分散システムの必要性 IoT では従来のデータと処理のクラウド極集中が成りたない結果データも処理も分散化前提のシステムとなる IoT では扱う実世界や既存のデータ量が爆発的に増える実世界でのリアルタイム性処理確保のためデータを実世界の近くに置かざるを得ない ( 例 ) 両動運転局地災害時の避難指などクラウド ( 現状 ) クラウド中央型システムデータ処理データ処理 ( あるべき姿 ) データ及び処理の分散化動クラウドデータ処理データ処理エッジ ( 実世界 ) 実世界動河川河川データ処理データ Open Data クラウドにデータ及び処理が集中クラウドと実世界にデータ及び処理が分散 13 NEC Corporation 2016

14 データ及び処理の分散化によるメリット従来のシステムでは処理系とデータが対になっていたデータと処理が分散及び分離されることで処理系とデータの対の関係がなくなる為処理系に支配されないデータの利活が可能となる ( 例 ) 処理基盤を持つ勝者のベンダーがデータを寡占化データのオープンな利活を促進できる可能性がある異業種間のデータの利活が促進し新しいサービスが生まれる可能性親会社調達先お客様研究データカタログデータ経理データ生産データ属性 ( 開示範囲開示レベル開示期間 ) カタログデータ属性カタログデータ属性生産データ属性アクセスコントロール対象全開部分開部分開第三者による制御が可能 14 NEC Corporation 2016

15 データ及び処理の分散化によるセキュリティリスクと対策セキュリティリスク分散データ格納への要求に応えるには分散システム一般の課題としてシステムへの脅威増に対応が必要 IoT インフラ上で分散サービスを構成した場合の主な脅威個別ノードへの攻撃改ざん乗っ取り悪意のあるサービス提供者悪意のあるサービスへの参加者データの漏えいサービスでの対策 1: システムの一部分への攻撃改ざん対策改ざんを受けた可能性のあるノードの律閉塞改ざん乗っ取りのある可能性のあるノードデータの外部主導での排除サービスでの対策 2: 悪意のあるサービス提供者参加者等の排除悪意を持つ参加者等の数を圧倒的に上回る善意の参加者 ( ブロックチェーン ) サービスのレベル実装のセキュリティレベルなど信度に関する認証局的役割を持つ新たなサービスの確 15 NEC Corporation 2016 分散システムに具備すべき技術データ通信系と管理系を分離する技術システム全体の異常や攻撃を律的に検知する技術セキュアにデータ及び処理を分散する技術

16 分散システムの課題とセキュリティ 1 データ通信系と管理系を論理的に分離する通信仮想化技術 2 システム全体の異常や攻撃を律的に検知可能とする学習型システム異常検知技術セキュアにデータ及び処理を分散する技術 3 データを分散する秘密分散 4 集めないで計算する秘密計算 4 秘密計算 ( データ ) デバイスデバイス 1 通信仮想化技術 (NW) データ処理認証局管理データ処理クラウドデータ処理内部攻撃管理管理 3 秘密分散 ( データ ) 利者エッジ ( 実世界 ) リポジトリ情報改竄漏洩デバイス 2 自己学習型システム異常検知技術 (NW) 利者デバイスデータ処理管理 16 NEC Corporation 2016

17 3. 分散システムを支える技術

ノード通信仮想化技術正常なソフト不適切なソフト機器制御 / 管理デバイスコンピューティング正常なデバイス不適切なデバイス U-Plane:User Plane

18 3.1. 通信仮想化技術各ノードはデータ保存や分散処理 ( アプリ ) など複数の役を担う悪意あるノードを完全に隔離するとこれらの正常な機能も停する C-Plane/U-Plane を分離悪意あるデータ通信を隔離しながらノードを制御可能な通信仮想化技術の確が重要論理通信路 U-Plane C-Plane クラウドコンピューティング物理通信路エッジコンピューティングノード通信仮想化技術正常なソフト不適切なソフト機器制御 / 管理デバイスコンピューティング正常なデバイス不適切なデバイス U-Plane:User Plane C-Plane:Control Plane NW をソフト制御できる OpenFlow 技術などの活が必要分散システムの制御には認証局やリポジトリ情報の確が合わせて必要 18 NEC Corporation 2016

19 3.2. 学習型システム異常検知技術過去に発生した攻撃の経験を基としたマルウェアの感染を防ぐアプローチは限界 ( 例 ) パターンマッチによる対策振る舞い検知による対策サンドボックスによる対策攻撃者は常に新しい攻撃手法を開発常に後手に回った対策しかえないパラダイムシフトをもたらす新しいアプローチシステムの通常の動作を完全に把握し通常とは異なるシステム動作から攻撃を検知従来のアプローチ新しいアプローチ過去に受けた攻撃の経験を基にマルウェアの感染を防ぐマルウェアに感染してしまうことを前提にサイバー攻撃の知識をいることなく未知攻撃を検知し被害発生前に対策 19 NEC Corporation 2016

20 3.2. 学習型システム異常検知技術 AI( 人工知能 ) を活して未知のサイバー攻撃を動で検知隔離する最新技術 1 システム全体の動作状態から定常状態を学習 2 現在のシステム動作と定常状態をリアルタイムで比較分析し異常を検知 3 被害範囲を特定ネットワークから自動隔離被害範囲の動特定動隔離プログラム起動やファイルアクセスなど軽量なログ収集学習現在の動作状態被害範囲脅威脅威ファイル通信フロープロセス定常状態定常状態比較サーバ端末未知のサイバー攻撃もリアルタイムに自動検知従来の手による分析の 1/10 以下の時間で被害範囲を特定 20 NEC Corporation 2016

21 ( 参考 )3.2. 学習型システム異常検知技術運イメージホスト間の NW における定常動作と異常をリアルタイムに表監視対象ホストの一覧 ( 円の周囲のアドレス表示 ) ホスト間の定常 NW 利 ( 線 ) ホスト間の異常な NW 利 ( オレンジ線 ) 異常の原因対処状況をリアルタイム表示 21 NEC Corporation 2016

22 3.3. 秘密分散技術 : 改竄検知機能付き秘密分散法セキュアにデータを分散するための技術データサイズ / 処理能とユースケースやサービスとの整合性の確認必要機密性 : 一定数以下のシェアが漏洩したり盗難されても元の情報の秘密は完全に保証可性 : 一定数以下のシェアが紛失したり破損しても残りのシェアから秘密情報を復元保全性 : 改竄されたシェアが含まれていても, その事実を検知できる秘密情報シェア : 分散データ分散処理 : 秘密分散符号化シェア 1 シェア 2 シェア 3 シェア n 改竄なしシェア 1 k 個のシェアシェア 2 シェア k 改竄ありシェア 1 k 個のシェア改竄シェアX シェア k 復元処理 : 復元処理秘密情報復元可能復元処理シェアXは改竄されている改竄あり 22 NEC Corporation 2016

23 3.4. 秘密計算 ( セキュアマルチパーティー計算 ) 分散システムへの適には処理分散量と実処理時間の相関を取りサービス別の SLA( ) の達成検証が必要データを暗号化したままノードが共同で計算する方式 1 秘密分散によりデータを秘匿データ顧客履歴データ 2 互いに通信しながら合意した任意の処理を分散実ノード A 1 秘密分散ノード B 3 処理中のデータからは元のデータも処理結果も完全に秘密 4 秘匿された処理結果の復元により処理結果のみを取得可能秘密分散 DB 処理 2 秘密復元秘密分散 DB 処理 3?? SLA:Service Level Agreement 処理の要求結果 4 顧客動統計分析 23 NEC Corporation 2016

Microsoft PowerPoint - ã…Šã…¬ã…ﬁã…¥ã…¼ç›‹_MVISONCloudè£½åﬁ†ç´¹ä»‰.pptx

Microsoft PowerPoint - ã…Šã…¬ã…ﬁã…¥ã…¼ç›‹_MVISONCloudè£½åﬁ†ç´¹ä»‰.pptx ビジネスを加速化するクラウドセキュリティ McAfee MVISION Cloud のご紹介クラウド IoT カンパニーエンべデッドソリューション部 https://esg.teldevice.co.jp/iot/mcafee/ esg@teldevice.co.jp 2019 年 5 月 Copyright Tokyo Electron Device LTD. All Rights Reserved.