-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
サイバー・グリッド・ジャパンの外谷です。
先日、私が開発したサイバー脅威情報プラットフォーム「MISP」用のツールをオープンソースとして公開しました。このツールが何に使えるのか、そもそもMISPとは何かという点について紹介します。
はじめに
ラックの研究開発部門であるサイバー・グリッド・ジャパンでは現在、「サイバー脅威情報」を活用したセキュリティ対策の研究・開発を行っています。
「サイバー脅威情報」とは、Cyber Threat Intelligenceの訳で(他に、サイバー・スレット・インテリジェンス、サイバー脅威インテリジェンスなど、表現の仕方はさまざま)、サイバー攻撃という脅威に関する情報を集約・蓄積し、分析することでセキュリティ対策に活かす取り組みを指します。
現在の取り組みの詳細は、サイバー・グリッド・ジャパンの情報誌「CYBER GRID JOURNAL Vol.4」(2017年9月発行)*1 に、記事を掲載していますので、そちらもご覧ください。
MISPとは
サイバー・グリッド・ジャパンでは、この「サイバー脅威情報」を活用した研究の具体的アプローチの1つとして、オープンソースの情報共有プラットフォームである「MISP(Malware Information Sharing Platform)」*2 を使った脅威分析の取り組みを進めています。MISPの開発は2011年から始まり、現在はCIRCL*3 を中心としてオープンソースプロジェクトとして開発が盛んに行われています。コミュニティもボランティアベースで形成されており、日本からもFIRST*4 を通じてMISPコミュニティに当社を含めて数組織が参加しています。MISPでは、マルウェアを中心としたサイバー脅威関連情報の一元管理や組織間での情報共有が可能で、さらに、このMISP内に蓄積した情報間の関連性を自動的にチェックすることも可能となっています。
...と書いてもなかなかイメージがわかないかと思いますので、具体的なユースケースを挙げてみます。
- インターネット上で公開されたマルウェアAの情報をMISPに登録
※マルウェアAのハッシュ値や通信先サーバ(C2サーバ)のアドレスなどの情報がブログ等で公開されていたものと想定します - お客様ネットワーク内で不審な通信が発生していることを監視機器(IPSなど)が検知
- 2 で検知された通信先の情報をMISPに登録
⇒ 1 で登録したマルウェアAの通信先と一致することがMISPの画面上ですぐに確認可能
上記だけであれば、マルウェアAの情報を社内のセキュリティ担当者が把握しておいて、不審な通信が検知された段階で原因を紐付けることは可能かもしれません。しかし、マルウェアの種類は日々増加し続けており、通信先となるC2サーバのアドレスも日々変化しています。このような環境で、人力で情報を収集し、情報の紐付けを行うのは現実的ではありません。こういった場面でMISPを活用することで、膨大な情報との照合をローコストで実現することが可能となります。
MISPを使ったサイバー脅威情報プラットフォームの構築
ご紹介したように、MISPを活用することで、様々な情報源から登録されたサイバー脅威情報の関連性が容易に把握できるようになります。私たちはその情報源からMISPに蓄積されたデータの関連性を抽出して新たな脅威となり得る情報の特定につなげ、セキュリティ対策に活かす取り組みを進めていきます。
今回公開した「MISP-CSVImport」について
今回私が公開したツール*5 は、MISPに対して、CSVやTSVなどのファイルで作成していた情報を一括で登録することができます。上で提示したユースケースでいうと、
> 1. インターネット上で公開されたマルウェアAの情報をMISPに登録
の部分を簡単に行うためのものです。MISPの基本機能では、ハッシュ1件ごと、IPアドレス1つずつなど、登録したい情報を1つずつ手動で登録する必要があり、情報量が多いと作業が煩雑になってしまいます。その点、MISP-CSVImportを利用すれば、登録したい情報を一度のツール実行でまとめて登録することが可能です。
このMISP-CSVImportツールは、もともと研究活動の過程で必要性を感じて作成したツールですが、一般的なニーズもあるのではないかと考え、1月29日に、オープンソースとしてGitHubに公開しました。
このツールを使うことで、新たにMISPを導入しようとした際に、例えばそれまでエクセルで管理していたサイバー脅威情報をまとめてMISPに登録したいというような場合に役立つのではないかと考えています。
なお、類似したCSVファイルからのMISPイベントへのアトリビュート登録機能*6 が私たちのツール公開と同時期に行われました。こちらはMISP自体の機能の一部としてGUIでの利用が可能というメリットが存在します。一方、私たちが公開したMISP-CSVImportはコマンドラインベースであり、次のようなメリットがあります。
- 複数イベントを一括して登録できる
- イベントごとにインポートユーザを指定することができる
- 元々の開発経緯の影響でエクセルから出力したTSVファイルの取り込みに強い
このように1つの機能についても複数の開発者がより良い実装を目指してソースを公開できるというのがオープンソースのすばらしい部分だと思います。ぜひ用途に応じて使い分けていただければと思います。
おわりに
現在はMISPに蓄積されたサイバー脅威情報の分析をテーマに研究活動を進めていますが、ゆくゆくはこの取り組みをラックならではのサイバー脅威情報の創出や、より先進的なセキュリティ対策につなげていきたいと考えています。
その計画においては、MISPが重要な役割を果たしています。今回のようなツール公開やオープンソース活動を通じて、引き続きMISP等のオープンソースプロジェクトに貢献できればと考えています。
「サイバー脅威情報」をさらに詳しく知るにはこちら
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR