ポイント

  • サイバーセキュリティ関連情報を大規模集約・横断分析する「CURE」を開発
  • 散在する多種多様な情報を自動的につなぎ合わせ、サイバー攻撃の隠れた構造を解明
  • 自組織内のアラートと外部の脅威情報とを関連付け、組織のセキュリティ・オペレーションを効率化
NICTサイバーセキュリティ研究室は、多種多様なサイバーセキュリティ関連情報を大規模集約・横断分析するセキュリティ情報融合基盤「CURE」(キュア)を開発しました。CUREは、サイバー攻撃の観測情報や脅威情報等、異なる情報源から得られるサイバーセキュリティ関連情報を一元的に集約してつなぎ合わせることで、これまで把握が困難であったサイバー攻撃の隠れた構造を解明し、リアルタイムに可視化します。さらにCUREは、自組織内のアラートと外部の脅威情報とを関連付けることで、最新の脅威が組織に及ぼす影響について迅速な把握を可能にし、組織のセキュリティ・オペレーションの効率化が期待できます。
CUREについては、2019年6月12日(水)~14日(金)に幕張メッセで開催される「Interop Tokyo 2019」で動態展示を行います。

背景

組織のセキュリティを向上するためには、自組織内で適切なセキュリティ対策を講じてサイバー攻撃の観測や分析を行うことが重要ですが、最近では外部組織から発信される脅威情報(threat intelligence)等を定常的に収集し、自組織のセキュリティ対策に活かすことも求められています。しかしながら、そのような組織内外の多種多様なサイバーセキュリティ関連情報を定常的に収集・分析することは高い人的コストを要するため、多くの組織では実現困難でした。

図1 CURE全体図:中央水色の球体がCURE本体、外周青色の球体は各種サイバーセキュリティ関連情報を保有するデータベース(DB)群。各DBはCURE本体に情報を送る際にリップルレーザを射出。CURE本体ではIPアドレス、ドメイン、マルウェアについて横断分析を行い、同一の情報が見つかるとDB間にリンクを描画(青:IPアドレス、緑:ドメイン、橙:マルウェア)
図1 CURE全体図
中央水色の球体がCURE本体、外周青色の球体は各種サイバーセキュリティ関連情報を保有するデータベース(DB)群。各DBはCURE本体に情報を送る際にリップルレーザを射出。CURE本体ではIPアドレス、ドメイン、マルウェアについて横断分析を行い、同一の情報が見つかるとDB間にリンクを描画(青: IPアドレス、緑: ドメイン、橙: マルウェア)

今回の成果

NICTはこれまで、無差別型攻撃の観測(インシデント分析センターNICTER)や標的型攻撃の観測(サイバー攻撃誘引基盤STARDUST)、組織内のアラートやエンドポイント情報の収集(サイバー攻撃統合分析プラットフォームNIRVANA改)、様々な情報源からの脅威情報の取得(サイバー脅威情報集約システム EXIST)等、多種多様なサイバーセキュリティ関連情報の収集を行ってきました。
 
今回、NICTが開発した「CURE」(キュア: Cybersecurity Universal REpository)は、これらサイバーセキュリティ関連情報を一元的に集約し、異種情報間の横断分析を可能にするセキュリティ情報融合基盤です。CUREによって、個別に散在していた情報同士を自動的につなぎ合わせることが可能となり、これまで把握が困難であったサイバー攻撃の隠れた構造の解明につながります。
 
さらに、CUREとNIRVANA改とを連動させ、外部組織から発信される脅威情報と自組織内のアラートやエンドポイント情報とを関連付けることで、最新の脅威が組織に及ぼす影響について迅速な把握を可能にし、組織のセキュリティ・オペレーションの効率化が期待できます。
 
図2 詳細情報表示:各DBからCUREに送られた情報を種別ごとに詳細表示。複数のDBをまたぐ攻撃キャンペーンをハイライト表示
図2 詳細情報表示
各DBからCUREに送られた情報を種別ごとに詳細表示。複数のDBをまたぐ攻撃キャンペーンをハイライト表示
図3 NIRVANA改連携:CUREとNIRVANA改が連動し、自組織内で発報したアラートと各種の脅威情報とを自動的に関連付け
図3 NIRVANA改連携
CUREとNIRVANA改が連動し、自組織内で発報したアラートと各種の脅威情報とを自動的に関連付け

今後の展望

CUREによって散在するセキュリティ・ビッグデータを統合し、日本のセキュリティ向上に資するセキュリティ・インテリジェンスの創出を目指します。また、CUREが集約したサイバーセキュリティ関連情報について、更に高度な分析技術の研究開発を推進していきます。
CUREについては、2019年6月12日(水)~14日(金)に幕張メッセで開催される「Interop Tokyo 2019」で動態展示を行います。

補足資料

NICTサイバーセキュリティ研究室では、サイバー攻撃の観測の広さを横軸として、無差別型攻撃対策のための全域的観測から標的型攻撃対策のための局所的観測まで、また、観測の深さを縦軸として、受動的な観測から能動的な観測まで、サイバーセキュリティについて全方位の研究開発を行っています(図4参照)。それら研究開発の中心に位置するのがCUREです。
図4 サイバーセキュリティ研究室 研究マップ
図4 サイバーセキュリティ研究室 研究マップ
CUREは、サイバー攻撃対策に必要となる多種多様なサイバーセキュリティ関連情報(図5外周 参照)を一元的に集約し、横断分析を可能にするセキュリティ情報融合基盤です。CUREは、膨大な量の情報を高速に処理するため、インメモリデータベースを採用し、各種DBとCURE本体のメッセージングはPub/Sub(Publish/Subscribe)モデルに基づいて実装されています。これにより、高速性と高いスケーラビリティを実現します。
図5 CURE概念図
図5 CURE概念図

用語解説

インシデント分析センター NICTER(ニクター)
NICTER
NICTER
NICTER(Network Incident analysis Center for Tactical Emergency Response)は、インターネット上で発生する無差別型攻撃を迅速に把握し、有効な対策を導出するための複合的なシステム。ダークネット(未使用のIPアドレス空間)の大規模観測やマルウェアの収集・分析などによって得られた情報を相関分析し、その原因を究明する機能を持つ。

NICTERWEB

サイバー攻撃誘引基盤 STARDUST(スターダスト)
STARDUST
STARDUST
STARDUSTは、標的型攻撃等の攻撃者の挙動を長期分析するための攻撃誘引基盤。攻撃者を外部から誘引するために、企業サイズの精巧な模擬環境“並行ネットワーク”を自動構築し、標的型攻撃に用いられるマルウェアを実行。模擬環境中でステルス性の高いリアルタイム観測・分析を可能にする。
サイバー攻撃統合分析プラットフォーム NIRVANA改(ニルヴァーナ・カイ)
NIRVANA改
NIRVANA改
NIRVANA 改は、組織内の各種セキュリティ機器が発報するアラートを集約・分類・相関分析することで、アラートのトリアージ(優先順位付け)や、異常な通信を遮断するアクチュエーション(自動対処)等を可能にするサイバー攻撃統合分析プラットフォーム。
報道発表
NIRVANA改が更にバージョンアップ!」2016年6月7日
サイバー脅威情報集約システム EXIST(イグジスト)
EXISTは、様々な情報源から公開あるいは有償提供されている脅威情報を自動収集し、解析者がWebUIもしくはWebAPIで横断的な検索を行うことを可能にするWebアプリケーション。オープンソースとして公開されている。

本件に関する問い合わせ先

サイバーセキュリティ研究所
サイバーセキュリティ研究室

井上 大介、津田 侑、鈴木 宏栄

Tel: 042-327-6225

E-mail: nicterアットマークml.nict.go.jp

広報

広報部 報道室

廣田 幸子

Tel: 042-327-6923

E-mail: publicityアットマークnict.go.jp