特集
» 2019年07月10日 08時00分 公開

セキュリティビッグデータを視覚化、隠れた脅威を解明する「CURE」誕生(2/2 ページ)

[土肥正弘,ドキュメント工房]
前のページへ 1|2       

NICTによるセキュリティ対策プラットフォーム

 NICTによるサイバー攻撃観測・分析プラットフォームには次のようなものがある(一部)。「CURE」はこれらからの情報を常時収集し、相関をグラフィカルに表示して、サイバー攻撃の状況を解明可能にしたものだ。

【無差別攻撃の観測センター】

 ・NICTER(ニクター:Network Incident analysis Center for Tactical Emergency Response)

 使用されていないIPアドレス空間(ダークネット)に対するアクセスを大規模に観測し、マルウェア情報との相関分析を行って対策方法を導くシステム。無差別な攻撃や攻撃前の偵察活動など検知できる。

 ・HONEYPOT(ハニーポット)

 外部からのマルウェア捕獲のためのおとりサーバ

【対サイバー攻撃アラートシステム】

 ・DAEDALUS(ダイダロス:Direct Alert Environment for Darknet And Livenet Unified Security)

 NICTERによるダークネット観測情報から、組織内から送出される異常通信を検知して、当該組織に対して迅速にアラートを送信する。

【サイバー攻撃統合分析プラットフォーム】

 ・NIRVANA改(ニルヴァーナ・カイ)

 組織ネットワークに設置されたファイアウォールやIDS、サンドボックスなどさまざまなセキュリティ機器からのアラートを集約・分類・相関分析する。リスクの高いアラートに優先的に対応するだけでなく、設定した条件でエンドホストやネットワーク機器による自動対処(通信遮断やマルウェア感染ホストの隔離)などを行うことが可能。民間企業に技術移転されており、国内ベンダーからこれを用いた製品が販売されている。(過去記事「NIRVANA改弐」参照 https://www.keyman.or.jp/kn/articles/1901/16/news031_2.html)

【サイバー攻撃誘引基盤】

 ・STARDUST(スターダスト)

 企業ネットワークを精巧に模擬したネットワークを構築して標的型攻撃を呼び寄せ、攻撃者に察知できないように長期観測する。攻撃者の組織侵入後の詳細な挙動をリアルタイムに把握可能。

【サイバー脅威情報集約システム】

 ・EXIST(イグジスト)

 公開されている各種の脅威情報や、SNS、ニュース、ブログに表れた脅威情報を自動集約して調査解析に役立つオープンソースソフトウェア(GitHubから入手可能)。セキュリティ機器が検知した異常通信が悪性なのかどうかなどの調査業務を容易にする。例えば上記のNIRVANA改と組み合わせると、標的型攻撃の解明に役立つ。

 NICTはこうした各種システムを運用する事により、およそ25ペタバイトにのぼる日本最大級の大規模セキュリティデータを蓄積している。そのビッグデータをセキュリティオペレーションの効率化と、対サイバー攻撃対策の迅速化に役立てるように開発されたのが「CURE」だ。

「CURE」は何をしているのか

 「CURE」は、前述のような各種情報源から、IPアドレス、ドメイン、マルウェアのハッシュ値などを、Pub/Subメッセージング方式で常時リアルタイムに受け取り、インメモリデータベース(Redis)に展開、高速検索を可能にする。2019年6月に開催されたInterop Tokyo 2019では「CURE」の動態展示が行われたが、このときのメモリ容量は256GBだった。メモリはテラバイト級に拡張可能だが、NICTサイバーセキュリティ研究室の井上大介室長によると「サイバー攻撃への緊急対応には多くの場合1週間分のデータがあれば良く、それには256GB程度でも十分。メモリに入り切らないデータはディスクに書き込んで、低速でも利用は可能」とのことだ。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。