セキュリティ情報融合基盤 “CURE” を機能強化！

ポイント

サイバーセキュリティ関連情報を大規模集約・横断分析する「CURE」を機能強化
サイバー攻撃を体系的に自然言語で記述したMITRE社のATT&CKなどの分析情報を融合
外部分析情報と自組織観測情報を自然言語処理で関連付け、セキュリティオペレーション効率化

国立研究開発法人情報通信研究機構（NICT、理事長: 徳田英幸）サイバーセキュリティ研究室は、多種多様なサイバーセキュリティ関連情報を大規模集約するセキュリティ情報融合基盤「CURE」（キュア）を機能強化し、自然言語で記述された分析情報を融合、迅速に横断分析することに成功しました。これまでのCUREの機能に加え、今回、自然言語処理による関連付け機能を開発することで、米国の MITRE ATT&CK（マイターアタック）などの自然言語で記述された分析情報をCUREに融合し、横断分析ができるようになりました。これにより、外部の分析情報と自組織の観測情報とを柔軟に関連付けることが可能となり、セキュリティオペレーションの効率化が期待できます。

機能強化したCUREは、2020年10月28日（水）～30日（金）に幕張メッセで開催される「第10回情報セキュリティ EXPO【秋】」で動態展示を行います。また、CUREの技術詳細については2020年10月26日（月）～29日（木）にオンライン開催されるコンピュータセキュリティシンポジウム2020（CSS2020）で発表しています。

背景

組織のセキュリティ向上のためには、自組織におけるサイバー攻撃の観測情報や、外部機関が公表した分析情報などの多種多様なサイバーセキュリティ関連情報を活用する必要があります。そこで、NICTはセキュリティ情報融合基盤「CURE」を開発し、サイバーセキュリティ関連情報の大規模集約と横断分析の研究を行ってきました。

図1 CURE全体図
中央水色の球体がCURE本体、外周青色と橙色の小球体はそれぞれArtifact（観測情報）とSemantics（分析情報）を格納するデータベース群。CURE本体ではIPアドレス、ドメイン、マルウェア、自然言語のタグにより横断分析を行い、同一の情報が見つかるとデータベース間にリンクを描画（青：IPアドレス、緑：ドメイン、橙：マルウェア、赤：タグ）。
［画像クリックで拡大表示］

これまでCUREは、サイバー攻撃に使用されたIPアドレス、ドメイン名、マルウェアのいずれかの情報が完全一致することで、異なる観測情報の間での関連付けを行っていましたが、セキュリティレポートなどの自然言語で記述された分析情報を、どのようにして統一的に取り扱うかが課題でした。

今回の成果

今回、CUREに自然言語処理の機能を加え、自然言語で記述された情報から重要な単語（タグ）を抽出し、タグを用いた異種情報の間での関連付けを可能にしました。これにより、各種のセキュリティレポートや、サイバー攻撃を体系的に記述する米国のMITRE ATT&CKなどの自然言語で記述された分析情報をCUREのデータベースに融合し、横断分析ができるようになりました。

また、CUREの構造をArtifact（観測情報）レイヤとSemantics（分析情報）レイヤの2階層に分離し、自然言語のタグによって両レイヤ間の関連付けを可能にするとともに、2階層モデルに対応した可視化機能を開発しました。

図2は、観測情報を格納するArtifactレイヤを示しています。

これまでCURE に集約してきたダークネット観測情報（NICTER）や、組織内のアラート情報（NIRVANA改）のデータベースに加え、新たにWeb媒介型攻撃の観測情報（WarpDrive）を融合しました。

各種データベースの間で、完全一致した情報にリンクが描画されています。

図3は、今回新たにCUREに加わった、自然言語で記述された分析情報を格納するSemanticsレイヤを示しています。

様々なセキュリティベンダによるセキュリティレポート（Security Reports）や、米国のMITRE ATT&CKで公開されている攻撃者グループ（ATT&CK Groups）、攻撃手法（ATT&CK Techniques）、攻撃に用いられるソフトウェア（ATT&CK Software）に関する情報が融合されています。

図4は、Semanticsレイヤのデータベースに含まれる自然言語のタグと、タグによる異種情報間のリンクを表しています。

セキュリティレポートなどの文書から、自然言語処理によって、その文章の特徴を表す特徴語を抽出してタグを生成します。文書中の画像などからもタグを抽出できます。

このタグを用いた関連付けによって、Artifactレイヤの観測情報（IPアドレス、ドメイン名、マルウェア）に対して、分析情報による意味付けを行うことができます。

図5は、Emotetと呼ばれるマルウェアが使用するIPアドレスが、外部機関の発行したセキュリティレポートとATT&CK Software（Semanticsレイヤ：橙色小球体）の中に記載されています。さらに、そのIPアドレスがNIRVANA改が集約した自組織内のアラート情報（Artifactレイヤ：青色小球体）に含まれていることが青色のリンクで可視化されています。

このEmotetの例のように、自然言語のタグによるCURE内の検索も可能になり、世の中で新たに出現したサイバー攻撃について、自組織での発生状況などが容易に調査できます。

今回のCUREの機能強化によって、自組織における観測情報と外部機関が公表した分析情報とを柔軟に関連付けることが可能となり、組織のセキュリティオペレーションの効率化が期待できます。

今後の展望

CUREによって、多種多様なセキュリティ・ビッグデータを統合し、日本のセキュリティ向上に資するサイバーセキュリティ統合知的基盤の創出を目指します。

用語解説

CURE（キュア）

CURE（Cybersecurity Universal REpository）は、サイバーセキュリティ関連情報を一元的に集約し、異種情報間の横断分析を可能にするセキュリティ情報融合基盤。個別に散在していた情報同士を自動的につなぎ合わせ、サイバー攻撃の隠れた構造を解明し、リアルタイムに可視化する。

報道発表
「セキュリティ情報融合基盤“CURE”を開発」　

2019年6月6日

元の記事へ

MITRE ATT&CK（マイターアタック）

MITRE ATT&CKは、米国MITRE社が開発しているサイバー攻撃の戦術や手法等を体系的かつ網羅的に記述するフレームワーク。実際の観測に基づいて記述されたATT&CK知識ベースを公開している。

MITRE ATT&CK

元の記事へ

インシデント分析センター NICTER（ニクター）

NICTER（Network Incident analysis Center for Tactical Emergency Response）は、インターネット上で発生する無差別型攻撃を迅速に把握し、有効な対策を導出するための複合的なシステム。ダークネット（未使用のIPアドレス空間）の大規模観測やマルウェアの収集・分析などによって得られた情報を相関分析し、その原因を究明する機能を持つ。

NICTERWEB

元の記事へ

サイバー攻撃統合分析プラットフォーム NIRVANA改（ニルヴァーナ・カイ）

NIRVANA改（NICTER Real-network Visual ANAlyzer KAI）は、組織内の各種セキュリティ機器が発報するアラートを集約・分類・相関分析することで、アラートのトリアージ（優先順位付け）や、異常な通信を遮断するアクチュエーション（自動対処）等を可能にするサイバー攻撃統合分析プラットフォーム。

報道発表
「NIRVANA改が更にバージョンアップ！」　

2016年6月7日

元の記事へ

WarpDrive（ワープ・ドライブ）

WarpDrive（Web-based Attack Response with Practical and Deployable Research InitiatiVE）はWeb媒介型攻撃の実態把握と対策技術の向上を目指したユーザ参加型プロジェクト。「攻殻機動隊S.A.C.」シリーズに登場するキャラクター「タチコマ」がユーザのPCやスマートフォンの中でWeb媒介型攻撃の観測・分析を行い、悪性サイトへのアクセスを遮断する。

WarpDriveポータルサイト

元の記事へ