国立研究開発法人情報通信研究機構(NICT)のサイバーセキュリティ研究室は2019年6月6日、多種多様なサイバーセキュリティ関連情報を大規模に集約して横断的に分析できるセキュリティ情報融合基盤「CURE」(キュア)を開発したと発表した。
情報通信研究機構(NICT)の「CURE(キュア: Cybersecurity Universal REpository)」は、サイバー攻撃の観測情報や脅威情報など、異なる情報源から得られるサイバーセキュリティ関連情報を一元的に集約してつなぎ合わせるソフトウェアである(画面1)。これまで把握が困難だったサイバー攻撃の隠れた構造を解明し、リアルタイムに可視化するとしている。
図1:CUREの全体図。中央水色の球体がCURE本体、外周青色の球体は各種サイバーセキュリティ関連情報を保有するデータベース群。各データベースはCURE本体に情報を送る際にリップルレーザーを射出。CURE本体ではIPアドレス、ドメイン、マルウェアについて横断分析を行い、同一の情報が見つかるとデータベース間にリンクを描画(青: IPアドレス、緑: ドメイン、橙: マルウェア)(出典:国立研究開発法人情報通信研究機構)拡大画像表示
開発の背景についてNICTは、外部組織から発信される脅威情報などを定常的に収集し、自組織のセキュリティ対策に活かすことが求められている状況を挙げている。「しかし、こうした組織内外の多種多様なサイバーセキュリティ関連情報を定常的に収集・分析することは、高い人的コストを要するため、多くの組織では実現困難だった」という。
NICTはこれまで、無差別型攻撃の観測(インシデント分析センターNICTER)や標的型攻撃の観測(サイバー攻撃誘引基盤STARDUST)、組織内のアラートやエンドポイント情報の収集(サイバー攻撃統合分析プラットフォームNIRVANA改)、様々な情報源からの脅威情報の取得(サイバー脅威情報集約システム EXIST)など、多種多様なサイバーセキュリティ関連情報の収集を行ってきた。
CUREは、これらのサイバーセキュリティ関連情報を一元的に集約し、異種情報間の横断分析を可能にする基盤である。また、CUREとNIRVANA改と連動させれば、部組織が発信する脅威情報と自組織内のアラートやエンドポイント情報とを関連付ける運用もできる(画面2)。これにより、最新の脅威が組織に及ぼす影響を迅速に把握できる。
図2:CUREとNIRVANA改が連動し、自組織内で発報したアラートと各種の脅威情報とを自動的に関連付けられる(出典:国立研究開発法人情報通信研究機構)拡大画像表示
CUREは、2019年6月12日~14日に幕張メッセで開催する「Interop Tokyo 2019」で動態展示する。
