プレスリリース共同通信PRワイヤーより最新のプレスリリースを紹介

国立研究開発法人情報通信研究機構 広報部

セキュリティ情報融合基盤 “CURE” を機能強化!

自然言語で記述された分析情報を融合してセキュリティオペレーションを効率化

2020年10月27日
国立研究開発法人情報通信研究機構(NICT)

 
   
ポイント
■ サイバーセキュリティ関連情報を大規模集約・横断分析する「CURE」を機能強化
■ サイバー攻撃を体系的に自然言語で記述したMITRE社のATT&CKなどの分析情報を融合
■ 外部分析情報と自組織観測情報を自然言語処理で関連付け、セキュリティオペレーション効率化

 国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸)サイバーセキュリティ研究室は、多種多様なサイバーセキュリティ関連情報を大規模集約するセキュリティ情報融合基盤「CURE」(キュア)を機能強化し、自然言語で記述された分析情報を融合、迅速に横断分析することに成功しました。これまでのCUREの機能に加え、今回、自然言語処理による関連付け機能を開発することで、米国のMITRE ATT&CK(マイター アタック)などの自然言語で記述された分析情報をCUREに融合し、横断分析ができるようになりました。これにより、外部の分析情報と自組織の観測情報とを柔軟に関連付けることが可能となり、セキュリティオペレーションの効率化が期待できます。
 機能強化したCUREは、2020年10月28日(水)~30日(金)に幕張メッセで開催される「第10回 情報セキュリティ EXPO【秋】」で動態展示を行います。また、CUREの技術詳細については2020年10月26日(月)~29日(木)にオンライン開催されるコンピュータセキュリティシンポジウム2020(CSS2020)で発表しています。

背景
 組織のセキュリティ向上のためには、自組織におけるサイバー攻撃の観測情報や、外部機関が公表した分析情報などの多種多様なサイバーセキュリティ関連情報を活用する必要があります。そこで、NICTはセキュリティ情報融合基盤「CURE」を開発し、サイバーセキュリティ関連情報の大規模集約と横断分析の研究を行ってきました。

【画像:https://kyodonewsprwire.jp/img/202010266203-O4-LtYgM3Tt

 これまでCUREは、サイバー攻撃に使用されたIPアドレス、ドメイン名、マルウェアのいずれかの情報が完全一致することで、異なる観測情報の間での関連付けを行っていましたが、セキュリティレポートなどの自然言語で記述された分析情報を、どのようにして統一的に取り扱うかが課題でした。

今回の成果
 今回、CUREに自然言語処理の機能を加え、自然言語で記述された情報から重要な単語(タグ)を抽出し、タグを用いた異種情報の間での関連付けを可能にしました。これにより、各種のセキュリティレポートや、サイバー攻撃を体系的に記述する米国のMITRE ATT&CKなどの自然言語で記述された分析情報をCUREのデータベースに融合し、横断分析ができるようになりました。
 また、CUREの構造をArtifact(観測情報)レイヤとSemantics(分析情報)レイヤの2階層に分離し、自然言語のタグによって両レイヤ間の関連付けを可能にするとともに、2階層モデルに対応した可視化機能を開発しました。

 図2は、観測情報を格納するArtifactレイヤを示しています。
 これまでCURE に集約してきたダークネット観測情報(NICTER)や、組織内のアラート情報(NIRVANA改)のデータベースに加え、新たにWeb媒介型攻撃の観測情報(WarpDrive)を融合しました。
 各種データベースの間で、完全一致した情報にリンクが描画されています。

【画像:https://kyodonewsprwire.jp/img/202010266203-O5-Bs7uPQi9
 図3は、今回新たにCUREに加わった、自然言語で記述された分析情報を格納するSemanticsレイヤを示しています。
 様々なセキュリティベンダによるセキュリティレポート(Security Reports)や、米国のMITRE ATT&CKで公開されている攻撃者グループ(ATT&CK Groups)、攻撃手法(ATT&CK Techniques)、攻撃に用いられるソフトウェア(ATT&CK Software)に関する情報が融合されています。

【画像:https://kyodonewsprwire.jp/img/202010266203-O7-7YLI66m9

 図4は、Semanticsレイヤのデータベースに含まれる自然言語のタグと、タグによる異種情報間のリンクを表しています。
 セキュリティレポートなどの文書から、自然言語処理によって、その文章の特徴を表す特徴語を抽出してタグを生成します。文書中の画像などからもタグを抽出できます。
 このタグを用いた関連付けによって、 Artifact レイヤの観測情報( IP アドレス、ドメイン名、マルウェア)に対して、分析情報による意味付けを行うことができます。

【画像:https://kyodonewsprwire.jp/img/202010266203-O9-59ccs23d

 図5は、Emotetと呼ばれるマルウェアが使用するIPアドレスが、外部機関の発行したセキュリティレポートとATT&CK Software(Semanticsレイヤ:橙色小球体)の中に記載されています。さらに、そのIPアドレスがNIRVANA改が集約した自組織内のアラート情報(Artifactレイヤ:青色小球体)に含まれていることが青色のリンクで可視化されています。
 この Emotet の例のように、自然言語のタグによる CURE 内の検索も可能になり、世の中で新たに出現したサイバー攻撃について、自組織での発生状況などが容易に調査できます。

【画像:https://kyodonewsprwire.jp/img/202010266203-O10-WS65C8rK

 今回のCUREの機能強化によって、自組織における観測情報と外部機関が公表した分析情報とを柔軟に関連付けることが可能となり、組織のセキュリティオペレーションの効率化が期待できます。

今後の展望
 CUREによって、多種多様なセキュリティ・ビッグデータを統合し、日本のセキュリティ向上に資するサイバーセキュリティ統合知的基盤の創出を目指します。
 機能強化したCUREは、2020年10月28日(水)~30日(金)に幕張メッセで開催される「第10回 情報セキュリティ EXPO【秋】」で動態展示を行います。また、CUREの技術詳細については2020年10月26日(月)~29日(木)にオンライン開催されるコンピュータセキュリティシンポジウム2020(CSS2020)で発表しています。

図1 CURE全体図
図2 Artifact(観測情報)レイヤ
図3 Semantics(分析情報)レイヤ
図4 タグによる関連付け
図5 CUREの検索機能
PRワイヤーロゴ

共同通信PRワイヤーがあなたのプレスリリースを責任を持ってお届けします。

共同通信PRワイヤーは、わが国を代表する通信社である共同通信社のグループ企業として設立された、国内唯一の世界標準の広報通信社です。共同通信PRワイヤーがご提供するワイヤーサービスは、報道機関の方々からのご協力とご承認を得て作成した「最新のメディア向け配信リスト」を使い、共同通信社が全力を挙げて作り上げた国内広報通信システムを通じて、適切な配信先にいち早く、プレスリリースをお届けするものです。

PRワイヤー

全国選抜小学生プログラミング大会
新型コロナ特集
スポーツ歴史の検証
スポーツ歴史の検証

K.K. Kyodo News Facebookページ

ニュース解説特集や映像レポート、エンタメ情報、各種イベント案内や開催報告などがご覧いただけます。

矢野経済研究所
ふるさと発見 新聞社の本
DRIVE & LOVE
11月11日はいただきますの日
野球知識検定
キャッチボールクラシック
このページのトップへ