WEKO3
アイテム
コモディティ技術による動的ネットワーク分離制御方式
https://ipsj.ixsq.nii.ac.jp/records/2007392
https://ipsj.ixsq.nii.ac.jp/records/20073925990a91d-fa28-4470-9075-5147fbde7a48
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-IOT26072015.pdf (1.1 MB)
9999年1月1日からダウンロード可能です。
|
Copyright (c) 2026 by the Institute of Electronics, Information and Communication Engineers This SIG report is only available to those in membership of the SIG.
|
|
| IOT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | SIG Technical Reports(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2026-02-24 | |||||||||
| タイトル | ||||||||||
| 言語 | ja | |||||||||
| タイトル | コモディティ技術による動的ネットワーク分離制御方式 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Dynamic Network Isolation Control Based on Commodity Technologies | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | IA | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||||
| 資源タイプ | technical report | |||||||||
| 著者所属 | ||||||||||
| 大阪大学D3センター | ||||||||||
| 著者所属 | ||||||||||
| 京都大学学術情報メディアセンター | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| D3 Center, The University of Osaka | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Academic Center for Computing and Media Studies, Kyoto University | ||||||||||
| 著者名 |
大平,健司
× 大平,健司
× 小谷,大祐
|
|||||||||
| 著者名(英) |
Kenji Ohira
× Kenji Ohira
× Daisuke Kotani
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | サイバー攻撃発生時に「完全遮断」だけを行うと,被害拡大は抑えられても業務停止に直結する.一方で,攻撃状況を見誤って過度に通信を許容すると,横展開(lateral movement)等により被害が連鎖する.本稿では,コモディティ技術のみを用いて,攻撃下での業務継続性を高めるためのネットワーク制御方式を検討する.コモディティ技術のみを用いることで,既設ネットワークへの影響を抑えた導入,マルチベンダ環境での相互運用,運用要員に求めるスキルセットの抑制,挙動の追跡や説明などが可能になるものと考えられる.具体的には,端末・機器単位で仮想ネットワーク(典型的にはVLAN)を割り当てる構成を前提に,IEEE 802.1X認証とRADIUSによるDynamic VLANで対象機器を隔離用VLANへ即時に接続変更し,隔離ネットワークと通常ネットワーク間の通信を802.1Qタグ書換え(VLAN変換)機能を持つVLANブリッジで選択的に橋渡しする段階的制御を提案する.GNS3上にPoC環境を構築し,FreeRADIUSにより端末識別(ユーザ名・パスワード・MACアドレス)とVLAN割当を行い,VLANブリッジでは通常側VLANを収容するインタフェースと隔離側VLANを収容するインタフェースを分離し,隔離VLAN側にL2/L3/L4 ACLを適用して必要最小通信のみを許可する試作を実装した.提案方式の設計思想,制御の粒度,運用上の要点,ならびに今後の評価方針を示す. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | Naive “full isolation” upon cyber incidents often prevents damage propagation but may immediately halt essential operations. Conversely, excessive connectivity under uncertainty can accelerate lateral movement and cascading failures. This paper studies a practical network control scheme to enhance operational continuity under cyber attacks, considering limited budget and scarcity of expert operators. Assuming per-device virtual networks (typically VLANs), we propose staged isolation control: (1) instant reattachment of suspicious devices to a pre-provisioned quarantine VLAN via IEEE 802.1X authentication and RADIUS-based Dynamic VLAN, and (2) selective bridging between quarantine and original segments through a VLAN-bridge device. We implement a proof-of-concept on GNS3 where FreeRADIUS performs device identification (username/password/MAC) and VLAN assignment, while IEEE 802.1Q tag translation and L2/L3/L4 ACLs on the bridge switch control permitted communications (ingress ACLs on the quarantine side). We describe the design rationale, control granularity, operational considerations, and an evaluation plan. | |||||||||
| 書誌レコードID | ||||||||||
| 収録物識別子タイプ | NCID | |||||||||
| 収録物識別子 | AA12326962 | |||||||||
| 書誌情報 |
研究報告インターネットと運用技術(IOT) 巻 2026-IOT-72, 号 15, p. 1-8, 発行日 2026-02-24 |
|||||||||
| ISSN | ||||||||||
| 収録物識別子タイプ | ISSN | |||||||||
| 収録物識別子 | 2188-8787 | |||||||||
| Notice | ||||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
