電波タイムズは隔日刊(月・水・金)の発行です

電波・情報通信関連の新聞 The Dempa Times 電波タイムズ

電波タイムズについて 購読を申し込む
CATEGORY
SUPPORT
COMPANY
SPECIAL
ホーム情報通信NICT セキュリティ融合基盤にデータエンリッチメント

NICT セキュリティ融合基盤にデータエンリッチメント

 国立研究開発法人情報通信研究機構(NICT、徳田英幸理事長)のサイバーセキュリティ研究室は、NICTのサイバーセキュリティ関連情報を大規模集約するセキュリティ情報融合基盤「CURE(キュア)」の新機能として、蓄積したデータに様々な付加情報を与えることで、データの有用性を向上させるデータエンリッチメント機能(内部および外部のソースからさまざまなデータセットを組み合わせる一連のプロセスのこと)を開発するとともに、新たに複数の情報源をキュアに融合した。これにより、キュアを用いたサイバー攻撃の実態把握の精度が向上し、より質の高い国産脅威情報の生成が期待できる。 キュアは、サイバーセキュリティ関連情報を一元的に集約し、異種情報間の横断分析を可能にするセキュリティ情報融合基盤で、個別に散在していた情報同士を自動的につなぎ合わせ、サイバー攻撃の隠れた構造を解明し、リアルタイムに可視化する。 従来、サイバー攻撃の実態を把握するためには、サイバー攻撃の観測情報や外部機関が公開するセキュリティレポートなど、多種多様なサイバーセキュリティ関連情報を集約し、多角的に分析する必要がある。そのため、NICTはキュアを開発し、サイバーセキュリティ関連情報の大規模集約と横断分析の研究を行ってきた。 これまでキュアは様々な観測情報や分析情報を融合してきたが、サイバー攻撃の実態把握の精度を向上するために、キュアに格納するサイバーセキュリティ関連情報の『量』と『質』を継続的に高めていくことが課題だった。データの量を増やすためには、新たな情報源の融合が効果的であり、データの質を向上させるためには、データに付加的な情報を与えることで、その有用性や信頼性を向上させるデータエンリッチメントの仕組みが必要だった。 今回「キュア」に加わったのがデータエンリッチメント機能「Enricher(エンリッチャ)」。データエンリッチメントの概念は広く、様々な応用が考えられるが、今回は概念の実証として、キュア内のデータに「Doc2Vec」を用いて類似度スコア(集団や個体間の類似性の度合いを表す得点、値が大きいほど類似性が高い)を付与することで、類似の挙動を示すIPアドレス群を検出するエンリッチャを実装した。エンリッチャによって『このIPアドレスと似た活動をしているIPアドレス』のように、より柔軟な関連付けができるようになった。これにより、大規模スキャナによる調査活動に用いられているIPアドレス群の網羅的な把握や、暗号資産を不正に採掘するマルウェアの接続先IPアドレス群の抽出に成功するなど、データの完全一致だけでは実現できなかった柔軟な横断分析が可能になった。 「Doc2Vec」は、教師なし学習(学習データに正解を与えない状態で学習させる学習手法)により、任意の長さの文書から固定長(データや要素、領域などの長さや個数があらかじめ決まっていて変化しないこと)の文書ベクトル(数値)を得るアルゴリズムのこと。文書ベクトル化(文書の類似度を算出する処理)することにより、内積計算(ベクトルとベクトルの掛け算)で類似度が算出できるなど、文書の処理が容易になる。 さらに、新たに複数の情報源をキュアに融合した。3つの情報源(AmpPot〈アンプポット〉の観測情報、Malmail〈マルメール〉の動的解析情報、Trouble Ticket〈トラブル・チケット〉の管理情報)を融合した。 アムポットは、DDoS攻撃(ディードス、対象のウェブサイトやサーバーに対して複数のコンピューターから大量に攻撃すること)の一種であるリフレクション攻撃(インターネット上のサーバーを反射鏡のように悪用するタイプのDDoS攻撃)を観測するハニーポット(悪意のある攻撃を受けやすいように設定した機器をおとりとしてネットワーク上に公開することでサイバー攻撃を誘引し攻撃者の特定や攻撃手法を分析する手法)。 マルメールはNICTに届いた悪性メールに関する情報と、添付されたマルウェア(プログラム可能なデバイス、サービス、ネットワークに害を与えたり、悪用したりすることを目的とした悪意のあるソフトウェア)をサンドボックス(箱庭環境、ユーザーが通常利用する領域から隔離した保護された空間)で動的解析した結果を集約するシステム。 トラブル・チケットはNICT内のインシデント対応に関する情報を管理するためのシステム。インシデント対応の進捗状況や詳細解析情報を集約するとともに、解析者が登録したタグ(インシデントに関連した単語)をキュアにフィードバックする機能を有する。 このほか、サイバー攻撃の痕跡情報として、これまでIPアドレス、ドメイン名、マルウェア情報を用いていたが、攻撃に悪用されたメールアドレスも痕跡情報として扱えるように機能追加し、メールアドレスによるデータの関連付けや検索が可能になった。 今回、キュアのセキュリティ情報分析能力をさらに強化し、情報融合促進と分析能力が向上したことで、質の高い国産の脅威情報の生成加速につながるとしている。

カテゴリ一覧へ TOPへ戻る