NICT セキュリティ情報融合基盤「CURE」保有情報から自組織関連の攻撃情報等 通知可能に
国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究室は、セキュリティ情報融合基盤「CURE」の新機能として、カスタム通知機能「Watcher」の開発を発表した。
「CURE」はサイバーセキュリティ関連情報を集約し、異種情報間の横断分析を可能にする基盤である。新機能の「Watcher」では自組織関連の攻撃情報を通知可能とし、セキュリティ向上に期待がかかる。
NICTの活用例として、自組織のIPアドレスやドメイン名を設定することで、CUREが悪性情報を検知して通知する仕組みも紹介された。
国立研究開発法人情報通信研究機構(NICT:エヌアイシーティ)サイバーセキュリティ研究室は6月11日、セキュリティ情報融合基盤「CURE」の新機能として、カスタム通知機能「Watcher」の開発を発表した。
NICTがサイバー攻撃の実態把握のために開発した「CURE(Cybersecurity Universal REpository)」は、サイバーセキュリティ関連情報を一元的に集約し、異種情報間の横断分析を可能にするセキュリティ情報融合基盤で、個別に散在していた情報同士を自動的につなぎ合わせ、サイバー攻撃の隠れた構造を解明し、リアルタイムに可視化する。
新機能として開発されたカスタム通知機能「Watcher」では、IPアドレスやドメイン名など自組織に関連した情報を通知対象として設定しておくことで、CUREの保有する膨大な情報の中から自組織関連の攻撃情報などが通知可能となり、CUREを活用した自組織のセキュリティ向上が期待できる。Watcherの通知対象として設定できるのは、IPアドレス(IP Addr)、ドメイン名(Domain)、ハッシュ値(Hash)、メールアドレス(Email)、キーワード(Tag)の5種類。
NICTでは活用例として、Watcherに自組織が使用しているIPアドレスの範囲を設定しておくと、そのうちの1つがCUREの収集している悪性IPアドレスリストに載った際に通知が行われるが、これは自組織のIPアドレスが何らかの原因でサイバー攻撃に加担させられた結果、悪性判定された可能性があるためで、当該IPアドレスについて早急な調査が必要となる。他にも、Watcherに自組織のドメイン名を設定しておくことで、CUREの情報源のAmpPotが当該ドメイン宛てのDRDoS攻撃を検知した際に自組織(=被害組織)に通知が行われる。
