ニュース

NICTのセキュリティ情報融合基盤「CURE」、自然言語で記述された分析情報の融合を可能にする機能強化

 国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究室は27日、多種多様なサイバーセキュリティ関連情報を大規模集約するセキュリティ情報融合基盤「CURE(キュア)」を機能強化し、自然言語で記述された分析情報を融合して、迅速に横断分析することに成功したと発表した。

 CURE(Cybersecurity Universal REpository)は、サイバーセキュリティ関連情報を一元的に集約し、異種情報間の横断分析を可能にするセキュリティ情報融合基盤。個別に散在していた情報同士を自動的につなぎ合わせ、サイバー攻撃の隠れた構造を解明し、リアルタイムに可視化する。

CURE全体図

 NICTでは、組織のセキュリティ向上のためには、自組織におけるサイバー攻撃の観測情報や、外部機関が公表した分析情報などの多種多様なサイバーセキュリティ関連情報を活用する必要があるとして、セキュリティ情報融合基盤のCUREを開発し、サイバーセキュリティ関連情報の大規模集約と横断分析の研究を行ってきた。

 これまで、CUREではサイバー攻撃に使用されたIPアドレス、ドメイン名、マルウェアのいずれかの情報が完全一致することで、異なる観測情報の間での関連付けを行っていたが、セキュリティレポートなどの自然言語で記述された分析情報を、どのようにして統一的に取り扱うかが課題となっていた。

 今回、CUREに自然言語処理の機能を加え、自然言語で記述された情報から重要な単語(タグ)を抽出し、タグを用いた異種情報の間での関連付けを可能にした。これにより、各種のセキュリティレポートや、サイバー攻撃を体系的に記述する米国の「MITRE ATT&CK」などの自然言語で記述された分析情報をCUREのデータベースに融合し、横断分析ができるようになった。

 また、CUREの構造をArtifact(観測情報)レイヤとSemantics(分析情報)レイヤの2階層に分離し、自然言語のタグによって両レイヤ間の関連付けを可能にするとともに、2階層モデルに対応した可視化機能を開発した。

 これまでのCUREの機能に加え、自然言語で記述された分析情報をCUREに融合して横断分析できるようになることで、外部の分析情報と自組織の観測情報とを柔軟に関連付けられ、セキュリティオペレーションの効率化が期待できるとしている。

 機能強化したCUREは、10月28日~30日に幕張メッセで開催される「第10回 情報セキュリティ EXPO【秋】」で動態展示を行う。また、CUREの技術詳細については、10月26日~29日にオンライン開催されるコンピュータセキュリティシンポジウム2020(CSS2020)で発表している。