策につなげています。また、セキュリティでは人間(ユーザ)も重要な要素になります。ユーザの行動様式やメンタルモデル、意思決定プロセスを分析し、ユーザビリティを損ねることなくセキュリティを実践するためのユーザブルセキュリティの研究開発も進めています。■AI技術によるセキュリティオペレーション自動化サイバー攻撃から組織を守るためには、適切なセキュリティオペレーションによってセキュリティインシデントを一早く検出し、状況を把握することが重要になります。しかし、クラウドの利活用やテレワークが進んだ結果、従来の自社ネットワークとインターネットの境界で攻撃を防ぐ境界防御モデルは限界を迎えていて、セキュリティオペレーションでは多種多様なデータを統合的に分析しなければならず、負担が増大しています。我々は、収集したセキュリティビッグデータに対して機械学習をはじめとする各種AI技術を適用し、セキュリティオペレータやアナリストの持つ高度なノウハウをシステム化することで、セキュリティオペレーションの自動化とDXの実現を目指しています。中でも総務省の委託研究プロジェクトMITIGATEでは、国内の大学及び企業と連携し、ダークネット分析やマルウェア収集・解析、脅威インテリジェンス分析、ダークネット分析など人手を介さずに連動して実施することで、質の高いセキュリティレポートを自動生成しオペレータの負荷を大幅に軽減する、ハイブリッド分析プラットフォーム技術を開発しています。本技術により、一例ですが、新たなマルウェアの発生をいち早く自動的に検知し、そのマルウェアを特定の上、そのマルウェアの挙動解析結果、コード分析結果、攻撃対象となっている脆弱性の情報、そして当該マルウェアの詳細レポートをリアルタイムに収集・統合して掲示することが可能になります。また、この新たなマルウェア発生の検知は、独自の技術により実現しており、マルウェアに感染した端末から発せられるスキャンの同期性を検出することにより実現しています(図4)。ほかにも多数のセキュリティアラートから対処を要する重要なものを抽出する技術や、IoTマルウェアを高速かつ高精度にクラスタリングすることで、詳細分析が必要な新たなマルウェアを迅速に発見する技術など、より多くのオペレーションを支援できる技術の研究開発を進めています。また、システムが下した判定結果の妥当性を説明・検証可能であり、わかりやすく掲示できる技術の実現も重要な課題です。■国内外の研究連携によって世界的な研究開発拠点を目指すサイバー空間は広大で、データ収集や人材の確保含めて我々が単独で実施できる研究開発には限界があります。そこでサイバーセキュリティ研究室では、国内外の組織との研究連携を積極的に進めています。例えば、NICTERのダークネット観測では30万IPv4アドレスの世界最大級の攻撃観測網を構築していますが、この観測網は世界10か国以上に渡る数十組織との連携によって実現しています。複数地点の観測結果を集約することで、サイバー空間の状態をより精緻に分析・把握できるようになりました。こうして集めたデータは組織間で利活用することが重要ですが、一方で他組織にそのまま開示できない機微な情報も存在します。そのため、台湾の連携組織との間では、お互いのデータの学習結果のみを共有することにより、インターネット上でのマルウェア活動の発生検知を実現する方式を研究開発するなど、安全かつ効果的なセキュリティ関連情報の利活用も進めています。さらに、データだけではなく人材育成の観点でもインターンや研修生の受入を積極的に実施しており、世界的な研究開発拠点となることを目指しています。■今後の展望本中長期計画では、サイバーセキュリティ研究室はデータ駆動型サイバーセキュリティ技術とエマージングセキュリティ技術の両輪の研究開発を実施していきますが、その大前提となるのは、我々が従来から地道に実施してきたデータ収集・蓄積と分析技術の継続的発展です。サイバーセキュリティ分野は、新たな技術の登場や攻撃者の進化によって状況が絶えず変化する困難で面白い研究領域です。その中で我々は常に状況を見定めて目標を進化させ、攻めの研究開発を通じて国産のセキュリティ技術を輩出していくのと同時に、国際連携も積極的に牽けん引いんしグローバルレジリエンスを構築していこうと考えています。図4 新たなマルウェアの発生を早期に自動検出する技術図3 サイバーセキュリティ情報融合基盤CURE図2 サイバー攻撃観測・分析システムNICTER5NICT NEWS 2022 No.5
元のページ ../index.html#7