サイバー攻撃統合分析プラットフォーム“NIRVANA改”の横断分析機能を開発

スタンドアロン型からネクサス型のセキュリティ対策の確立に向けて

情報通信研究機構　広報部

2023/6/13 14:00

2023年6月13日

国立研究開発法人情報通信研究機構（NICT）

ポイント

■　サイバー攻撃統合分析プラットフォーム“NIRVANA改”の横断分析機能を新規開発

■　複数組織の攻撃情報を収集・集約し、MITRE ATT&CKに沿った俯瞰的な分析を実現

■　従来のスタンドアロン型から複数組織が連携するネクサス型のセキュリティ対策を目指す

　国立研究開発法人情報通信研究機構（NICT（エヌアイシーティー）、理事長: 徳田英幸）サイバーセキュリティ研究室は、サイバー攻撃統合分析プラットフォーム“NIRVANA改”（ニルヴァーナ・カイ）の新機能として、複数の組織から攻撃情報を収集し、MITRE ATT&CK（マイターアタック）の攻撃記述フレームワークに沿って、組織をまたぐ俯瞰的な分析を可能にする横断分析機能を開発しました。これにより、従来は組織ごとに独立に行われてきたスタンドアロン型のセキュリティ対策から、結節点となる組織を中心にして複数の組織が緩やかに連携するネクサス型の新たなセキュリティ対策を確立することで、日本のサイバー攻撃対処能力の向上が期待できます。

　NIRVANA改の横断分析機能について、2023年6月14日（水）～16日（金）に幕張メッセで開催される「Interop Tokyo 2023」で動態展示を行います。

背景

　日々発生するサイバー攻撃に対処するため、組織ごとに独立にセキュリティ製品やサービスを導入・運用する「スタンドアロン型」のセキュリティ対策が主流となっています。しかし、高度化・多様化が進むサイバー攻撃に組織が単独で適切かつ迅速な対処を行うことは、技術的にもコスト的にも困難な状況になりつつありました。

図1 NIRVANA改の横断分析機能

NIRVANA改の横断分析機能を可視化する「Organizations View」を示す。青色のリングは組織を表し、各組織中央の橙色の円柱は組織内で検出されたサイバー攻撃の進行度をMITRE ATT&CKに沿って表示している。

今回の成果

　NICTはこれまで、組織内でのアラートの優先順位付けと異常な通信の遮断を可能にするサイバー攻撃統合分析プラットフォーム“NIRVANA改”の研究開発を進めてきました。NIRVANA改は、組織ごとに独立して稼働するスタンドアロン型のセキュリティ対策でしたが、今回新機能として、複数の組織から攻撃情報をNICTが収集し、組織をまたぐ俯瞰的な分析を可能にする横断分析機能を開発しました（図1参照）。

　横断分析機能では、各組織のエンドポイント（PC 等）において攻撃情報を収集するエージェントプログラムを導入します。このエージェントプログラムは、エンドポイント内で不正な挙動を行うプロセスを分析し、マルウェアを検出します。同時に、その挙動からMITRE ATT&CKで規定されているサイバー攻撃の戦術（Tactics）及び手法（Techniques）を特定します（図2、図3参照）。

図2 組織の拡大表示

組織内のエンドポイントはモノリスで表現され、六角形の白いアラートはマルウェアが検出されたエンドポイントを指している。中央の円柱は、MITRE ATT&CKの戦術（Tactics）を表しており、組織からデータが持ち出されようとしている状態である窃取（Exfiltration）まで攻撃が進行していることが分かる。

図3 組織内での横展開の攻撃

MITRE ATT&CKの手法（Techniques）ごとに攻撃の履歴を強調表示し、サイバー攻撃の進行を時系列で確認することができる。この組織では、単一のエンドポイントを起点に別のエンドポイントへの横展開（Lateral Movement）を狙った攻撃が複数行われていることが分かる。

　各組織のエンドポイントで収集された攻撃情報は、NICTが厳重なセキュリティで管理するデータセンタに安全な通信経路経由で集約し、複数の組織を横断する俯瞰的な分析を行います。これにより、異なる組織で同時期に発生している攻撃の共通性や、特定の組織や分野に対する攻撃の局所性など、一組織が単独では知り得なかったサイバー攻撃の大局的な状況をＮＩＣＴが把握することが可能になります（図4、図5参照）。

　集約した攻撃情報とNICTが保有する多種多様なセキュリティ関連情報との突合を行い、分析結果を各組織にフィードバックすることで、各組織におけるサイバー攻撃の原因特定や迅速な対処にも貢献します。

図4 サイバー攻撃の大局的な把握