NICT、サイバー攻撃統合分析プラットフォーム「NIRVANA改」で組織をまたぐ分析を可能にする機能を開発

　国立研究開発法人情報通信研究機構（以下、NICT）サイバーセキュリティ研究室は13日、サイバー攻撃統合分析プラットフォーム「NIRVANA改」の新機能として、複数の組織から攻撃情報を収集し、MITRE ATT&CKの攻撃記述フレームワークに沿って、組織をまたぐ俯瞰的な分析を可能にする横断分析機能を開発したと発表した。

　NICTでは、組織内でのアラートの優先順位付けと異常な通信の遮断を可能にするサイバー攻撃統合分析プラットフォーム「NIRVANA改」の研究開発を進めている。NIRVANA改は、組織ごとに独立して稼働するスタンドアロン型のセキュリティ対策となっていたが、今回新機能として、複数の組織から攻撃情報をNICTが収集し、組織をまたぐ俯瞰的な分析を可能にする横断分析機能を開発した。

NIRVANA改の横断分析機能を可視化する「Organizations View」。青色のリングは組織を表し、各組織中央の橙色の円柱は組織内で検出されたサイバー攻撃の進行度をMITRE ATT&CKに沿って表示している

　横断分析機能では、各組織のエンドポイントにおいて攻撃情報を収集するエージェントプログラムを導入する。このエージェントプログラムは、エンドポイント内で不正な挙動を行うプロセスを分析し、マルウェアを検出する。同時に、その挙動からMITRE ATT&CKで規定されているサイバー攻撃の戦術（Tactics）および手法（Techniques）を特定する。

組織の拡大表示

組織内での横展開の攻撃

　各組織のエンドポイントで収集された攻撃情報は、NICTが厳重なセキュリティで管理するデータセンターに安全な通信経路経由で集約し、複数の組織を横断する俯瞰的な分析を行う。これにより、異なる組織で同時期に発生している攻撃の共通性や、特定の組織や分野に対する攻撃の局所性など、一組織が単独では知り得なかったサイバー攻撃の大局的な状況をNICTが把握できる。

　集約した攻撃情報と、NICTが保有するセキュリティ関連情報との突合を行い、分析結果を各組織にフィードバックすることで、各組織におけるサイバー攻撃の原因特定や迅速な対処にも貢献する。

サイバー攻撃の大局的な把握

戦術（Tactics）ごとの検出数の統計

　NIRVANA改の横断分析機能により、サイバーセキュリティの結節点となるNICTを中心にして、複数の組織が緩やかに連携する「ネクサス型」の新たなセキュリティ対策を確立することで、日本のサイバー攻撃状況把握能力を強化するとともに、連携組織のサイバー攻撃対処能力の向上が期待できるとしている。

　NICTでは今後、NIRVANA改の横断分析機能を複数の国内組織と連携して導入・運用を進め、ネクサス型のセキュリティ対策のプラットフォーム構築を目指すとしている。また、NIRVANA改の横断分析機能について、6月14日～16日に幕張メッセで開催される「Interop Tokyo 2023」で動態展示を行う。