慶大と日立、インシデントに複数のセキュリティ対応チーム間で連携・対応する「分散型セキュリティオペレーション」を実証

　慶應義塾大学と株式会社日立製作所は5日、高度化・大規模化するサイバー攻撃に対して、SOCやCSIRTなどの複数のセキュリティ対応チームが連携し、迅速なインシデントレスポンスを行う「分散型セキュリティオペレーション」構想を策定し、実証環境を構築したと発表した。

　慶應義塾大学と日立では、サイバー攻撃に対するセキュリティ運用管理や個人情報の安全性に関する共同研究を2016年2月に開始。両者の知見を融合して分散型セキュリティオペレーション構想を新たに策定し、その中核技術の一つとなる「動的認証認可技術」を開発した。

　従来のインシデントレスポンスでは、特定のセキュリティ対応チームをハブとして、インシデント情報とログや不審データ、通信パケットなどの分析データを集約し、人手作業で複数のセキュリティ対応チームに分析依頼と分析データの送付を行っていた。

分散型セキュリティオペレーションの概要

　今回策定した分散型セキュリティオペレーション構想では、特定のセキュリティ対応チームがすべてのインシデントレスポンスに関与するのではなく、クラウドプロバイダーなどの各組織にあるセキュリティ対応チームが自律分散的にインシデントに対処し、必要に応じて連携する。

　分散型セキュリティオペレーションの中核技術の一つとなる動的認証認可技術では、情報収集や分析などのインシデントレスポンスに求められる機能を標準化して、それぞれのセキュリティ対応チームが持つ機能を互いにリアルタイムで確認できるようにした。これにより、分析依頼や分析データ共有などの処理をどの専門チームへ委託するかを機械的に振り分けること（認可）を可能にする。さらに、関与する組織が新たに判明するたびに、認可からデータ送受信組織間の承認（認可）までの一連の処理を自動的に行うことで、迅速なセキュリティ対策を実現する。

　技術の効果を検証するため、慶應義塾インフォメーションテクノロジーセンターで監視しているインシデントの分析対象データを、日立の「オープンラボ横浜」にある研究用のSOCに送付して、分析を委託する実証環境を構築し、2017年11月から評価を開始。この結果、従来は担当者の習熟度によって、数分から数時間とばらつきのあった「インシデント検知から分析を依頼する一連の処理」を、1秒以内に完了できることを確認できたという。

　慶應義塾大学と日立では今後、今回構築した実証環境を活用して分散型セキュリティオペレーションを実現する技術開発を進めるとともに、技術を日本CSIRT協議会に提案し、社会インフラシステムの安定運用の確保に資するセキュリティオペレーションの実現に貢献していくとしている。また、成果については、3月6日に開催される「情報処理学会インターネットと運用技術研究会」での発表を予定する。