情報通信研究機構(NICT)は6月13日、同機構のサイバーセキュリティ研究室が開発するサイバー攻撃統合分析基盤「NIRVANA改」に、組織をまたいで俯瞰(ふかん)的な分析を可能にする新機能を搭載したと発表した。同月14~16日に千葉・幕張メッセで開催される「Interop Tokyo 2023」で動態展示する。
NIRVANA改は、組織のさまざまなセキュリティ機器が発するアラートを集約、分類、相関分析することで、アラートへの対応の優先順位付け(トリアージ)や、異常な通信を遮断する自動的に行うなどの対応を可能にするサイバー攻撃統合分析基盤として2013年から開発が続けられている。
従来のNIRVANA改は組織ごとに独立して稼働するものだったが、今回の横断分析機能を搭載したことにより、複数の組織から提供される攻撃情報をNICTが収集し、その情報を加味して、複数の組織をまたぐ俯瞰的な分析ができるようになった。
新機能では、まず各組織のPCなどのエンドポイントに攻撃情報を収集するエージェントプログラムを導入する。エージェントプログラムは、エンドポイント内で不正な挙動を行うプロセスを分析してマルウェアを検出する。同時に、その挙動からサイバー攻撃の戦術(Tactics)と手法(Techniques)のフレームワーク「MITRE ATT&CK」に照らして攻撃の状況を把握できるようにする。
横断分析機能の画面イメージ(左)、個々の組織を拡大表示したイメージ(右)
個々の組織内で攻撃が横展開されている様子(左)、サイバー攻撃状況の大局的な把握(右)
戦術(Tactics)ごとの検出数
NICTは、さまざまな攻撃情報を同機構が厳重に管理する安全な通信経路によってデータセンターに集約し、複数組織を横断した分析を行う。これにより、異なる組織で同時期に発生するサイバー攻撃の共通性、特定組織や分野に対する攻撃の局所性など個々の組織では把握することが難しい大局的なサイバー攻撃の状況を把握できるようになる。
NICTでは今後、NIRVANA改の横断分析機能を複数の国内組織と連携して導入・運用を進め、次世代型セキュリティ対策基盤の構築を目指すとしている。