ハニーネット【honeynet】

ハニーネットとは?

攻撃者をおびき寄せて行動を観測するために意図的に構築された、複数のハニーポットで構成される疑似的なネットワーク環境。外部からは実在する組織のシステムに見えるよう設計されており、侵入や攻撃活動をあえて許容することで、攻撃の手口や挙動を詳細に記録する。
ハニーネットのイメージ画像

セキュリティ研究機関などがインターネット上に設けるネットワークで、内部にはWebサーバメールサーバデータベース認証サーバなど、実際の業務環境に存在するようなシステムが物理的または仮想的に配置される。攻撃者が侵入すると、使用したツールや攻撃手法、権限昇格の過程、マルウェアの動作、外部との通信パターンなどがリアルタイムで検知・記録される。

このような機能を提供する単体のサーバを「ハニーポット」(honeypot)というが、ハニーネットは複数のハニーポットを連動させることで、ネットワーク内での横断的な移動や多段階の攻撃過程も追跡できる。実際の利用者が存在しない環境であるため、アクセスが発生した時点で不審な行為として判断しやすく、早期警戒の仕組みとしても機能する。

収集されたデータは、脅威インテリジェンスの向上やセキュリティ製品の改善、ファイアウォール侵入検知システムIDS)のシグネチャ作成などに活用される。研究機関では新種マルウェアや攻撃集団の動向分析に用いられ、企業などの組織では自社を狙う攻撃傾向の把握や侵入検知の補助として導入される場合がある。攻撃者がハニーネットを踏み台に第三者を攻撃できないように、外部への送信トラフィックファイアウォールや専用ゲートウェイによって厳格に制限される。

ハニーネットは1990年代後半に考案された仕組みで、「The Honeynet Project」などの研究組織がその体系化と知見の普及に貢献してきた。仮想化技術の進展により、現在では物理的な機材を大量に用意しなくても複雑な構成を迅速に展開できるようになっており、クラウド環境を利用した構築も広がっている。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。