1. トップ>
  2. 広報>
  3. プレスリリース>
  4. 2023年>
  5. サイバー攻撃統合分析プラットフォーム“NIRVANA改”の横断分析機能を開発
印刷

サイバー攻撃統合分析プラットフォーム“NIRVANA改”の横断分析機能を開発

〜スタンドアロン型からネクサス型のセキュリティ対策の確立に向けて〜
2023年6月13日

国立研究開発法人情報通信研究機構

ポイント

  • サイバー攻撃統合分析プラットフォーム“NIRVANA改”の横断分析機能を新規開発
  • 複数組織の攻撃情報を収集・集約し、MITRE ATT&CKに沿った俯瞰的な分析を実現
  • 従来のスタンドアロン型から複数組織が連携するネクサス型のセキュリティ対策を目指す
国立研究開発法人情報通信研究機構(NICTエヌアイシーティー、理事長: 徳田 英幸)サイバーセキュリティ研究室は、サイバー攻撃統合分析プラットフォーム“NIRVANA改”(ニルヴァーナ・カイ)の新機能として、複数の組織から攻撃情報を収集し、MITRE ATT&CK(マイター アタック)の攻撃記述フレームワークに沿って、組織をまたぐ俯瞰的な分析を可能にする横断分析機能を開発しました。これにより、従来は組織ごとに独立に行われてきたスタンドアロン型のセキュリティ対策から、結節点となる組織を中心にして複数の組織が緩やかに連携するネクサス型の新たなセキュリティ対策を確立することで、日本のサイバー攻撃対処能力の向上が期待できます。
NIRVANA改の横断分析機能について、2023年6月14日(水)〜16日(金)に幕張メッセで開催される「Interop Tokyo 2023」で動態展示を行います。

背景

日々発生するサイバー攻撃に対処するため、組織ごとに独立にセキュリティ製品やサービスを導入・運用する「スタンドアロン型」のセキュリティ対策が主流となっています。しかし、高度化・多様化が進むサイバー攻撃に組織が単独で適切かつ迅速な対処を行うことは、技術的にもコスト的にも困難な状況になりつつありました。

図1 NIRVANA改の横断分析機能
NIRVANA改の横断分析機能を可視化する「Organizations View」を示す。青色のリングは組織を表し、各組織中央の橙色の円柱は組織内で検出されたサイバー攻撃の進行度をMITRE ATT&CKに沿って表示している。

今回の成果

NICTはこれまで、組織内でのアラートの優先順位付けと異常な通信の遮断を可能にするサイバー攻撃統合分析プラットフォーム“NIRVANA改”の研究開発を進めてきました。NIRVANA改は、組織ごとに独立して稼働するスタンドアロン型のセキュリティ対策でしたが、今回新機能として、複数の組織から攻撃情報をNICTが収集し、組織をまたぐ俯瞰的な分析を可能にする横断分析機能を開発しました(図1参照)。

横断分析機能では、各組織のエンドポイント(PC 等)において攻撃情報を収集するエージェントプログラムを導入します。このエージェントプログラムは、エンドポイント内で不正な挙動を行うプロセスを分析し、マルウェアを検出します。同時に、その挙動からMITRE ATT&CKで規定されているサイバー攻撃の戦術(Tactics)及び手法(Techniques)を特定します(図2、図3参照)。

図2 組織の拡大表示
組織内のエンドポイントはモノリスで表現され、六角形の白いアラートはマルウェアが検出されたエンドポイントを指している。中央の円柱は、MITRE ATT&CKの戦術(Tactics)を表しており、組織からデータが持ち出されようとしている状態である窃取(Exfiltration)まで攻撃が進行していることが分かる。
図3 組織内での横展開の攻撃
MITRE ATT&CKの手法(Techniques)ごとに攻撃の履歴を強調表示し、サイバー攻撃の進行を時系列で確認することができる。この組織では、単一のエンドポイントを起点に別のエンドポイントへの横展開(Lateral Movement)を狙った攻撃が複数行われていることが分かる。

各組織のエンドポイントで収集された攻撃情報は、NICTが厳重なセキュリティで管理するデータセンタに安全な通信経路経由で集約し、複数の組織を横断する俯瞰的な分析を行います。これにより、異なる組織で同時期に発生している攻撃の共通性や、特定の組織や分野に対する攻撃の局所性など、一組織が単独では知り得なかったサイバー攻撃の大局的な状況をNICTが把握することが可能になります(図4、図5参照)。

集約した攻撃情報とNICTが保有する多種多様なセキュリティ関連情報との突合を行い、分析結果を各組織にフィードバックすることで、各組織におけるサイバー攻撃の原因特定や迅速な対処にも貢献します。

図4 サイバー攻撃の大局的な把握
複数の組織(組織01、02、06)において同種の手法(Techniques)による横展開(Lateral Movement)の攻撃が同時発生していることが分かる。

図5 戦術(Tactics)ごとの検出数の統計
画面中央に各組織から集約された攻撃情報の統計を表示している。窃取(Exfiltration)まで攻撃が進行している組織が一つあることが分かる。

NIRVANA改の横断分析機能によって、サイバーセキュリティの結節点となるNICTを中心にして複数の組織が緩やかに連携する「ネクサス型」の新たなセキュリティ対策を確立することで、日本のサイバー攻撃状況把握能力を強化するとともに、連携組織のサイバー攻撃対処能力の向上が期待できます。

今後の展望

NIRVANA改の横断分析機能を複数の国内組織と連携して導入・運用を進め、ネクサス型のセキュリティ対策のプラットフォーム構築を目指します。
NIRVANA改の横断分析機能は、2023年6月14日(水)〜16日(金)に幕張メッセで開催される「Interop Tokyo 2023」で動態展示を行います。

用語解説

サイバー攻撃統合分析プラットフォーム“NIRVANA改”(ニルヴァーナ・カイ)
NIRVANA改(NICTER Real-network Visual ANAlyzer KAI)は、組織内の各種セキュリティ機器が発報するアラートを集約・分類・相関分析することで、アラートのトリアージ(優先順位付け)や、異常な通信を遮断するアクチュエーション(自動対処)等を可能にするサイバー攻撃統合分析プラットフォーム。

報道発表「サイバー攻撃統合分析プラットフォーム“NIRVANA改”がIPv6に対応
〜世界初!IPv6の膨大なアドレス空間を流れるパケットのリアルタイム可視化に成功〜」
2021年4月12日
https://www.nict.go.jp/press/2021/04/12-1.html
 
報道発表「NIRVANA改が更にバージョンアップ!
〜アラート管理機能の強化と国産機器連携でユーザビリティを大幅向上〜」
2016年6月7日
https://www.nict.go.jp/press/2016/06/07-1.html
 
報道発表「サイバー攻撃統合分析プラットフォーム“NIRVANA改”を機能強化!
〜 エンドホスト連携機能と自動防御機能を開発 〜」
2015年6月8日
https://www.nict.go.jp/press/2015/06/08-2.html
 
報道発表「サイバー攻撃統合分析プラットフォーム
“NIRVANA改”(ニルヴァーナ・カイ)を開発」
2013年6月10日
https://www.nict.go.jp/press/2013/06/10-1.html


MITRE ATT&CK(マイター アタック)

MITRE ATT&CKは、米国MITRE社が開発しているサイバー攻撃の戦術や手法等を体系的かつ網羅的に記述するフレームワーク。実際の観測に基づいて記述されたATT&CK知識ベースを公開している。

本件に関する問合せ先

サイバーセキュリティ研究所
サイバーセキュリティ研究室

井上 大介、鈴木 宏栄、川村 慎太郎

広報(取材受付)

広報部 報道室