先述のように、データセンターのハイパースケール化をもたらす要因は、ワークロードやデータの多様化とそれに伴うトラフィックの増加にあるが、Interop Tokyoのもう1つのテーマのセキュリティーでは、情報通信研究機構(NICT)が膨大な情報源を利用して脅威の分析や対応のオペレーションを効率化する技術「Cybersecurity Universal REpository(CURE)」を公開している。
CUREは先の報道の通り、個別に散在するさまざまなセキュリティーに関する情報を集約し、それらを自動的につなぎ合わせることで、脅威の全体像を可視化するプラットフォームになる。現在のサイバー攻撃は、無差別型でも標的型でも幾つも手法を組み合わせて実行されるため、その全体像を把握しなければ効果的な対応策をとりづらい。
NICTの「CURE」。相関性を色分け(青はIPアドレス、緑はドメイン、橙はマルウェア)で表示する。例えば、ローカルで検知した不審な接続先のIPアドレスの相関性をたどって情報があるシステムにアクセスすれば、IPアドレスが悪性サイトかどうかすぐに確認できる。かつては相関性を見つけるのも担当者の力量次第だった
そこでNICTは、これまでに開発しているインシデント分析センター「NICTER」、標的型攻撃を観測する「STARDUST」、組織内のIT環境のセキュリティー脅威の状況を可視化する「NIRVANA改」、脆弱性管理基盤「NIRVANA改 弐」、脅威情報収集基盤「EXIST」の各種情報を統合し、相関分析を行って可視化するCUREを開発した。
CUREの画面上では、IPアドレスやドメイン、マルウェアを色分けで表示し、それぞれの相関性を表現している。例えば、NIRVANA改でローカルネットワークの特定のドメインにある端末がマルウェアに感染しているアラートが発生した場合、CUREではNIRVANA改とEXISTのつながりが表示される。セキュリティー担当者はこれを見て、NIRVANA改が提供するマルウェアのハッシュ情報とEXISTが収集している外部からのマルウェア情報を付き合わせ、マルウェアの種類を特定する。
従来ならマルウェアのハッシュ情報があっても、セキュリティー担当者が自分でさまざまな情報源にアクセスしてその確認をしなければならず、非常に手間がかかった。この作業に時間を取られている間に、ネットワークを通じてマルウェア感染が広がれば対応はより困難になる。インシデント発生の初期対応はある意味で時間との勝負だが、同時にある程度の正確性を確保しなければならない。この作業ができるのは豊富な経験や知見、感覚などを兼ね備えた専門家であり、当然ながら人数が少なく、よく言われる「セキュリティー人材不足」の理由の一つになっている。
NICT サイバーセキュリティ研究所 サイバーセキュリティ研究室長の井上大介氏は、「セキュリティーインテリジェンス情報を提供するサービスが増えているものの、結局はそれらの情報を自組織の状況に照らして活用し、担当者のオペレーションを効率化できなければ、あまり意味がなくなってしまう」と指摘する。
CUREとNIRVANA改の連携画面。NIRVANA改でInterop Tokyo会場内の脅威状況を監視しており、どこかのブース(?)の端末がマルウェアに感染しているアラートが出ていた。ここからCUREを利用してマルウェアの詳細情報をすぐに確認しにいける
現段階では、まずNICTでの各種の開発成果とCUREを連携させているが、外部から提供される情報の集約や分析も可能であり、今後はそうした連携の拡大とセキュリティーオペレーションの改善につながる機能などの開発をさらに進めていくという。