国立研究開発法人情報通信研究機構(NICT)のサイバーセキュリティ研究室は2023年6月13日、サイバー攻撃可視化ソフトウェア「NIRVANA改」の新機能として、複数の組織を横断して分析する機能を開発したと発表した。「これまで組織ごとに独立して行ってきたスタンドアロン型のセキュリティ対策から、結節点となる組織を中心にして複数の組織が緩やかに連携するネクサス型の新たなセキュリティ対策を確立する」(NICT)としている。
NICTの「NIRVANA改」は、企業ネットワークのセキュリティ機器が発報する大量のアラートを集約・分類・相関分析し、脅威を視覚化するソフトウェアである。アラートのトリアージ(優先順位付け)や、異常な通信を遮断するアクチュエーション(自動対処)も可能である。特徴は、近未来アニメーション風のグラフィックスを用いて、分かりやすく視覚化すること(関連記事:NICT、セキュリティ可視化ツール「NIRVANA改」でIPv6を可視化可能に)。
画面1:NIRVANA改において横断分析機能を使っている画面。青色のリングは組織を表し、各組織中央の橙色の円柱は組織内で検出したサイバー攻撃の進行度をMITRE ATT&CKに沿って表示している(出典:情報通信研究機構)拡大画像表示
今回、新機能として、複数組織間の横断分析機能を開発した(画面1)。それぞれの企業が受けた攻撃情報をNICTのデータセンターで一元的に収集し、組織間をまたがって俯瞰的に分析する機能である。狙いについてNICTは、「これまで組織ごとに独立して行ってきたスタンドアロン型のセキュリティ対策から、結節点となる組織を中心にして複数の組織が緩やかに連携するネクサス型の新たなセキュリティ対策を確立する」と説明する。
新機能投入の背景としてNICTは、組織ごとに独立してセキュリティ製品やサービスを導入・運用するスタンドアロン型のセキュリティ対策では、高度化・多様化が進むサイバー攻撃に対して脆弱であることを挙げる。「複数の企業が攻撃情報を持ち寄ることで、単独の企業では分からなかった情報を把握可能になる。組織が単独で適切かつ迅速な対処を行うことは、技術的にもコスト的にも困難な状況になりつつある」(NICT)。
横断分析機能においては、各組織のエンドポイント(PCなど)に、攻撃情報を収集するエージェントプログラムを導入する。エージェントプログラムは、エンドポイント内で不正な挙動を行うプロセスを分析し、マルウェアを検出する。同時に、その挙動からMITRE ATT&CK(マイターアタック)で規定されているサイバー攻撃の戦術(Tactics)と手法(Techniques)を特定する。
画面上では、組織内のエンドポイントをモノリスで表現する(画面2の左)。六角形の白いアラートは、マルウェアを検出したエンドポイントを指している。中央の円柱は、MITRE ATT&CKの戦術(Tactics)を表している。この画面からは、組織からデータが持ち出されようとしている「窃取(Exfiltration)」の状態まで攻撃が進行していることが分かる。
画面2:1つの組織を拡大表示した画面。組織内のエンドポイントをモノリスで表現している。六角形の白いアラートはマルウェアを検出したエンドポイントを指している(画面左)。単一のエンドポイントを起点に別のエンドポイントへのラテラルムーブメントが行われている様子(画面右)(出典:情報通信研究機構)拡大画像表示
また、攻撃の履歴をMITRE ATT&CKの手法(Techniques)ごとに表示し、サイバー攻撃の進行を時系列で確認可能である(画面2の右)。画面に表示されている組織においては、単一のエンドポイントを起点に別のエンドポイントに横展開するラテラルムーブメントを狙った攻撃が複数回行われていることが分かる。
各組織のエンドポイントで収集した攻撃情報は、NICTのデータセンターに集約し、複数の組織を横断して俯瞰的に分析する。これによりNICTは、異なる組織で同時期に発生している攻撃の共通性や、特定の組織や分野に対する攻撃の局所性など、一組織が単独では知り得なかったサイバー攻撃の大局的な状況を把握する。集約した攻撃情報は、NICTが持つセキュリティ情報と突合したうえで、分析結果として各組織にフィードバックする。
