[CODE BLUE 2019] CYDERとCURE、NICTのサイバーセキュリティ最前線[レポート] #codeblue_jp

CODE BLUE 2019「CYDERとCURE、NICTのサイバーセキュリティ最前線」についての参加レポートです。
2019.10.29

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

CYDERとCURE、NICTのサイバーセキュリティ最前線 Presented by 井上 大介、花田 智洋

NICTナショナルサイバートレーニングセンターより実践的サイバー防御演習「CYDER(サイダー)」のご紹介と、サイバーセキュリティ研究所で開発されている「CURE(キュア)」のご紹介や、サイバーセキュリティの研究や人材育成の最前線についてお話をさせていただきます。 現在、サイバーセキュリティ研究所では広く人材募集をしております。 ご興味のある方はぜひブースにもお立ち寄りください。

レポート

NICTとは

  • 情報通信分野を専門とする日本で唯一の公的研究機関である
  • その中でサイバーセキュリティ研究室おこなっている研究マップ

セキュリティオペレーションの現場の悩み

  • 脅威情報を購入しても自社に関係があるかが分からない/分析が難しいことが多い

CUREとは

  • サイバーセキュリティユニバーサルリポジトリ
  • さまざまなサイバーセキュリティ関連情報を集約、分析する融合基盤
  • OSINT情報から自分の組織に関連性があるもの(IPアドレスなど)を検知・表示する事ができる

CUREのシステム構成

  • NICTERやハニーポット、スターダストから取得した情報を融合し、ニルバーナ改へアラートを渡す事が可能である。
  • ニルバーナ改が管理している組織の情報とOSINT情報のIPアドレスと関連させて表示させることも可能である

Web媒介型攻撃対策 WARP DRIVE

  • センサーとして「タチコマ」をブラウザ拡張を提供して、アクセスしたWebサイトの安全性を解析する

  • 現在インストールされている数と検知しているWebサイト
    • 約8,500台へインストールいただいている
    • 診断したURLは1,500万
    • 検知したマルウェアサイトは390

CYDERとは

  • ナショナルサイバートレーニングセンター
  • サイバー空間における攻撃としては、DDos攻撃、APT攻撃などがある
  • それらサイバー攻撃に対するインシデントハンドリングをトレーニングすることができる

インシデントハンドリングの流れ

  • いざインシデントハンドリングをおこなうと様々な工程をおこなう必要があり、組織に負担が大きい
  • そこでサイバー防御演習CYDERを提供している
  • CYDERは、どんな組織・企業でも受講する事ができる
  • おもにセキュリティ運用の部分にスポットしている

  • まずは事前オンらい学習を基礎知識を得てもらう。
  • そのうえで集合演習をおこなう
  • 演習では、インシデントの発生検知から対応して、最終的に報告書作成まで進める
  • 演習は、1名~4名で1組織として演習する。

  • シナリオの事例として
    • 外部へのメール送信やC&Cサーバとの通信遮断など。

CYDERを行う上でのよくある質問

  • いつも同じシナリオですか?
    • 最新の事例を盛り込んでいるので、ブラッシュアップされたシナリオをおこなっている
  • 1度受講すればよいですか?
    • 繰り返しトレーニングすることが大切なので、年に1度の受講をおすすめしている
  • 時間が無いので受講できない
    • 年に1度だけ、1日の時間をあけてぜひ受講して欲しい

まとめ

  • 攻撃は日々変化する
  • インシデントハンドリングに正解は無い
  • 繰り返し受講し、経験を積むことで突発的なインシデントが発生しても「想定内」として対応できる環境を整える事が大切である。

感想

NICTでは、ニルバーナやNICTERといった検知や監視のツールがそれぞれの分野で利用されいたが、それらがリアルタイムで連携しあうことができるようになったので、組織のセキュリティ担当者の労力を減らす事ができるよい取り組みだとおもう。