ポイント
■ サイバーセキュリティ関連bcゲーム カジノを大規模集約・横断分析する「CURE」を機能強化
■ サイバー攻撃を体系的に自然言語で記述したMITRE社のATT&CKなどの分析bcゲーム カジノを融合
■ 外部分析bcゲーム カジノと自組織観測bcゲーム カジノを自然言語処理で関連付け、セキュリティオペレーション効率化
国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸)サイバーセキュリティ研究室は、bcゲーム カジノ大規模集約するセキュリティ情報融合基盤「CURE」(キュア)を機能強化し、自然言語で記述された分析情報を融合、迅速に横断分析することに成功しました。これまでのCUREの機能に加え、今回、自然言語処理による関連付け機能を開発することで、米国のMITRE ATT&CK(マイター アタック)などの自然言語で記述された分析情報をCUREに融合し、横断分析ができるようになりました。これにより、外部の分析情報と自組織の観測情報とを柔軟に関連付けることが可能となり、セキュリティオペレーションの効率化が期待できます。
機能強化したCUREは、2020年10月28日(水)~30日(金)に幕張メッセで開催される「第10回 情報セキュリティ EXPO【秋】」で動態展示を行います。また、CUREの技術詳細については2020年10月26日(月)~29日(木)にオンbcゲーム カジノン開催されるコンピュータセキュリティシンポジウム2020(CSS2020)で発表しています。
背景
組織のセキュリティ向上のためには、自組織におけるサイバー攻撃の観測情報や、外部機関が公表した分析情報などのbcゲーム カジノ活用する必要があります。そこで、NICTはセキュリティ情報融合基盤「CURE」を開発し、サイバーセキュリティ関連情報の大規模集約と横断分析の研究を行ってきました。
図1 CURE全体図中央水色の球体がCURE本体、外周青色と橙色の小球体はそれぞれArtifact(観測bcゲーム カジノ)とSemantics(分析bcゲーム カジノ)を格納するデータベース群。CURE本体ではIPアドレス、ドメイン、マルウェア、自然言語のタグにより横断分析を行い、同一のbcゲーム カジノが見つかるとデータベース間にリンクを描画(青:IPアドレス、緑:ドメイン、橙:マルウェア、赤:タグ)。
これまでCUREは、サイバー攻撃に使用されたIPアドレス、ドメイン名、マルウェアのいずれかのbcゲーム カジノが完全一致することで、異なる観測bcゲーム カジノの間での関連付けを行っていましたが、セキュリティレポートなどの自然言語で記述された分析bcゲーム カジノを、どのようにして統一的に取り扱うかが課題でした。
今回の成果
今回、CUREに自然言語処理の機能を加え、自然言語で記述された情報から重要な単語(タグ)を抽出し、タグを用いた異種情報の間での関連付けを可能にしました。これにより、bcゲーム カジノのセキュリティレポートや、サイバー攻撃を体系的に記述する米国のMITRE ATT&CKなどの自然言語で記述された分析情報をCUREのデータベースに融合し、横断分析ができるようになりました。
また、CUREの構造をArtifact(観測bcゲーム カジノ)レイヤとSemantics(分析bcゲーム カジノ)レイヤの2階層に分離し、自然言語のタグによって両レイヤ間の関連付けを可能にするとともに、2階層モデルに対応した可視化機能を開発しました。
図2は、観測bcゲーム カジノを格納するArtifactレイヤを示しています。
これまでCURE に集約してきたダークネット観測bcゲーム カジノ(NICTER)や、組織内のアラートbcゲーム カジノ(NIRVANA改)のデータベースに加え、新たにWeb媒介型攻撃の観測bcゲーム カジノ(WarpDrive)を融合しました。
bcゲーム カジノデータベースの間で、完全一致した情報にリンクが描画されています。
図2 Artifact(観測bcゲーム カジノ)レイヤ
図3は、今回新たにCUREに加わった、自然言語で記述された分析bcゲーム カジノを格納するSemanticsレイヤを示しています。
様々なセキュリティベンダによるセキュリティレポート(Security Reports)や、米国のMITRE ATT&CKで公開されている攻撃者グループ(ATT&CK Groups)、攻撃手法(ATT&CK Techniques)、攻撃に用いられるソフトウェア(ATT&CK Software)に関するbcゲーム カジノが融合されています。
図3 Semantics(分析bcゲーム カジノ)レイヤ
図4は、Semanticsレイヤのデータベースに含まれる自然言語のタグと、タグによる異種bcゲーム カジノ間のリンクを表しています。
セキュリティレポートなどの文書から、自然言語処理によって、その文章の特徴を表す特徴語を抽出してタグを生成します。文書中の画像などからもタグを抽出できます。
このタグを用いた関連付けによって、 Artifact レイヤの観測bcゲーム カジノ( IP アドレス、ドメイン名、マルウェア)に対して、分析bcゲーム カジノによる意味付けを行うことができます。
図4 タグによる関連付け
図5は、Emotetと呼ばれるマルウェアが使用するIPアドレスが、外部機関の発行したセキュリティレポートとATT&CK Software(Semanticsレイヤ:橙色小球体)の中に記載されています。さらに、そのIPアドレスがNIRVANA改が集約した自組織内のアラートbcゲーム カジノ(Artifactレイヤ:青色小球体)に含まれていることが青色のリンクで可視化されています。
この Emotet の例のように、自然言語のタグによる CURE 内の検索も可能になり、世の中で新たに出現したサイバー攻撃について、自組織での発生状況などが容易に調査できます。
図5 CUREの検索機能
今回のCUREの機能強化によって、自組織における観測bcゲーム カジノと外部機関が公表した分析bcゲーム カジノとを柔軟に関連付けることが可能となり、組織のセキュリティオペレーションの効率化が期待できます。
今後の展望
CUREによって、多種多様なセキュリティ・ビッグデータを統合し、日本のセキュリティ向上に資するサイバーセキュリティ統合知的基盤の創出を目指します。
機能強化したCUREは、2020年10月28日(水)~30日(金)に幕張メッセで開催される「第10回 情報セキュリティ EXPO【秋】」で動態展示を行います。また、CUREの技術詳細については2020年10月26日(月)~29日(木)にオンbcゲーム カジノン開催されるコンピュータセキュリティシンポジウム2020(CSS2020)で発表しています。
J.S.ヘルド、2025年グローバルリスク報告書を発表、先行き不透明な中での重要なリスクに対応2025.01.23 09:59
