自然言語で記述された分析情報を融合してセキュリティオペレーションを効率化
2020年10月27日
国立研究開発法人情報通信研究機構(NICT)
ポイント
■ サイバーセキュリティ関連情報を大規模集約・横断分析する「CURE」を機能強化
■ サイバー攻撃を体系的に自然言語で記述したMITRE社のATT&CKなどの分析情報を融合
■ 外部分析情報と自組織観測情報を自然言語処理で関連付け、セキュリティオペレーション効率化
国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸)サイバーセキュリティ研究室は、多種多様なサイバーセキュリティ関連情報を大規模集約するセキュリティ情報融合基盤「CURE」(キュア)を機能強化し、自然言語で記述された分析情報を融合、迅速に横断分析することに成功しました。これまでのCUREの機能に加え、今回、自然言語処理による関連付け機能を開発することで、米国のMITRE ATT&CK(マイター アタック)などの自然言語で記述された分析情報をCUREに融合し、横断分析ができるようになりました。これにより、外部の分析情報と自組織の観測情報とを柔軟に関連付けることが可能となり、セキュリティオペレーションの効率化が期待できます。
機能強化したCUREは、2020年10月28日(水)~30日(金)に幕張メッセで開催される「第10回 情報セキュリティ EXPO【秋】」で動態展示を行います。また、CUREの技術詳細については2020年10月26日(月)~29日(木)にオンライン開催されるコンピュータセキュリティシンポジウム2020(CSS2020)で発表しています。
背景
組織のセキュリティ向上のためには、自組織におけるサイバー攻撃の観測情報や、外部機関が公表した分析情報などの多種多様なサイバーセキュリティ関連情報を活用する必要があります。そこで、NICTはセキュリティ情報融合基盤「CURE」を開発し、サイバーセキュリティ関連情報の大規模集約と横断分析の研究を行ってきました。
図1 CURE全体図中央水色の球体がCURE本体、外周青色と橙色の小球体はそれぞれArtifact(観測情報)とSemantics(分析情報)を格納するデータベース群。CURE本体ではIPアドレス、ドメイン、マルウェア、自然言語のタグにより横断分析を行い、同一の情報が見つかるとデータベース間にリンクを描画(青:IPアドレス、緑:ドメイン、橙:マルウェア、赤:タグ)。
これまでCUREは、サイバー攻撃に使用されたIPアドレス、ドメイン名、マルウェアのいずれかの情報が完全一致することで、異なる観測情報の間での関連付けを行っていましたが、セキュリティレポートなどの自然言語で記述された分析情報を、どのようにして統一的に取り扱うかが課題でした。
今回の成果
今回、CUREに自然言語処理の機能を加え、自然言語で記述された情報から重要な単語(タグ)を抽出し、タグを用いた異種情報の間での関連付けを可能にしました。これにより、各種のセキュリティレポートや、サイバー攻撃を体系的に記述する米国のMITRE ATT&CKなどの自然言語で記述された分析情報をCUREのデータベースに融合し、横断分析ができるようになりました。
また、CUREの構造をArtifact(観測情報)レイヤとSemantics(分析情報)レイヤの2階層に分離し、自然言語のタグによって両レイヤ間の関連付けを可能にするとともに、2階層モデルに対応した可視化機能を開発しました。
図2は、観測情報を格納するArtifactレイヤを示しています。
これまでCURE に集約してきたダークネット観測情報(NICTER)や、組織内のアラート情報(NIRVANA改)のデータベースに加え、新たにWeb媒介型攻撃の観測情報(WarpDrive)を融合しました。
各種データベースの間で、完全一致した情報にリンクが描画されています。
図2 Artifact(観測情報)レイヤ
図3は、今回新たにCUREに加わった、自然言語で記述された分析情報を格納するSemanticsレイヤを示しています。
様々なセキュリティベンダによるセキュリティレポート(Security Reports)や、米国のMITRE ATT&CKで公開されている攻撃者グループ(ATT&CK Groups)、攻撃手法(ATT&CK Techniques)、攻撃に用いられるソフトウェア(ATT&CK Software)に関する情報が融合されています。
図3 Semantics(分析情報)レイヤ
図4は、Semanticsレイヤのデータベースに含まれる自然言語のタグと、タグによる異種情報間のリンクを表しています。
セキュリティレポートなどの文書から、自然言語処理によって、その文章の特徴を表す特徴語を抽出してタグを生成します。文書中の画像などからもタグを抽出できます。
このタグを用いた関連付けによって、 Artifact レイヤの観測情報( IP アドレス、ドメイン名、マルウェア)に対して、分析情報による意味付けを行うことができます。
図4 タグによる関連付け
図5は、Emotetと呼ばれるマルウェアが使用するIPアドレスが、外部機関の発行したセキュリティレポートとATT&CK Software(Semanticsレイヤ:橙色小球体)の中に記載されています。さらに、そのIPアドレスがNIRVANA改が集約した自組織内のアラート情報(Artifactレイヤ:青色小球体)に含まれていることが青色のリンクで可視化されています。
この Emotet の例のように、自然言語のタグによる CURE 内の検索も可能になり、世の中で新たに出現したサイバー攻撃について、自組織での発生状況などが容易に調査できます。
図5 CUREの検索機能
今回のCUREの機能強化によって、自組織における観測情報と外部機関が公表した分析情報とを柔軟に関連付けることが可能となり、組織のセキュリティオペレーションの効率化が期待できます。
今後の展望
CUREによって、多種多様なセキュリティ・ビッグデータを統合し、日本のセキュリティ向上に資するサイバーセキュリティ統合知的基盤の創出を目指します。
機能強化したCUREは、2020年10月28日(水)~30日(金)に幕張メッセで開催される「第10回 情報セキュリティ EXPO【秋】」で動態展示を行います。また、CUREの技術詳細については2020年10月26日(月)~29日(木)にオンライン開催されるコンピュータセキュリティシンポジウム2020(CSS2020)で発表しています。
