NICT、複数のセキュリティ情報から深掘り分析などができる新機能

今回は「NICT、複数のセキュリティ情報から深掘り分析などができる新機能」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　情報通信研究機構（NICT）は、6月15～17日に開催の「Interop Tokyo 2022」に出展し、セキュリティ情報融合基盤「CURE（Cybersecurity Universal REpository）」の最新機能を披露した。かわいらしい動きもする。

　CUREは、さまざまなセキュリティ関連情報を集約し、横断的な分析を行うためのプラットフォーム。NICTは、無差別型サイバー攻撃の観測・分析基盤「NICTER」、標的型サイバー攻撃の統合分析基盤「NIRVANA 改」、標的型サイバー攻撃を誘引して分析を行う「STARDUST」などを運用しており、これらとNICT外部の各種情報を統合的に活用するために開発が進められている。

　Interop Tokyo会場で説明したサイバーセキュリティ研究所 サイバーセキュリティ研究室長の井上大介氏によると、従来は各種の情報を個別に管理、活用していたが、各種情報を統合的に利用できるようにすべく2015年に構想し、2019年のInterop Tokyoで初披露した。サイバー攻撃の中身は非常に複雑な構造であるため、適切に対処するには、散在している情報を統合的かつ横断的に分析して、攻撃の全容を詳しく知る必要がある。

　CUREでは、多彩な情報と膨大な量のデータを利用して高速に分析するために、現在は約4TB規模のRedisのインメモリーデータベース処理を行っているという。2019年のリリース時は、まず「Artifact（観測情報）」としてNICT独自の観測情報を集約するものだったが、2020年には「Semantics（分析情報）」として外部のサイバーセキュリティ関連ニュースやブログ、脆弱性情報、サイバー攻撃の戦術や手法に関する公開情報「MITRE ATT＆CK」なども集約できるように進化している。

　2022年版のCUREでは新たに、ArtifactにおいてNICT内のインシデント対応チーム（CSIRT）の「NICT-CSIRT」の管理情報（Trouble Ticket）、Semanticsにおいてリフレクション攻撃の解析情報（AmpPot）やメールに添付されたマルウェアの解析情報（Malmail）を集約できるようにしたほか、セキュリティ侵害指標（IoC＝Indicators of compromise）では、従来のIPアドレス、ドメイン名、マルウェア情報に、メールアドレスを追加している。

　さらに、ArtifactやSemanticsのさまざまなデータに付加的な情報を与えるデータエンリッチメント機能の「Enricher」を実装した。

　従来のCUREでは、データの関連付けを完全一致するIoCで行っていたが、今回のEnricherでは、例えば、特定のIPアドレスと似た活動をしているIPアドレスというような柔軟な関連付けができるようになり、「大規模な探索行為をするIPアドレス群の把握」といった分析が可能になった。さまざまに応用できるとし、例えば、IPアドレスやメールアドレスに悪性度のスコアを付与するといったことも行える。

　また今回は、Enricherの可視化の開発にも注力したといい、CUREの画面に表示されるEnricherがコミカルに一回転する「Kuru-Rin-Pa！」動作を実現した。井上氏は、担当者が心血を注いでこの動きを実現させたとのエピソードを披露し、会場の聴講者から“静かな”笑いを集めていた。