組織間の脅威情報を連携する「SecureGRIDアライアンス」ユーザ向けガイドを公開

昨年末に参加募集を開始した、組織間の脅威情報連携の取り組み「SecureGRIDアライアンス」ですが、これまでに10を超える組織からお問い合わせをいただきました。その後、参加に向けて環境構築などの準備を進めていただいている組織もあります。

お問い合わせをいただく中で、SecureGRIDアライアンスへ参加する際にどのような準備が必要なのか、具体的に説明する資料があるといいと思い、ガイドページを公開しました。

これまでSecureGRIDアライアンスに参加をご希望いただいた組織とのやり取りを踏まえ、MISPの構築や運用に関する情報や、構築したMISPへのデータ登録を手動・自動それぞれで行う方法について説明しています。

本記事では、ガイドページ公開の経緯や詳しい内容についてご紹介します。

ガイド公開の経緯

私たちはこれまで3年以上にわたってMISP^※1を運用してきました。データ件数が膨大になることによるデータベースのパフォーマンス低下を避けるため、格納するデータの特性によってMISPを分割し、現在では5台以上のMISPを運用しています。また、私たちが独自に運用している研究システムで集めたデータに加え、各種OSINT情報をMISPに取り込むためのツールも多数開発してきました。現在ではこういったデータが蓄積され、全MISPの合計では10億件以上のレコードを保持しています。

※1 オープンソースの脅威情報を蓄積したプラットフォーム。このデータには研究中の各システムで試行的に集めた内容を多く含んでおり、蓄積したすべてのデータをSecureGRIDアライアンス向けに公開しているわけではありません。

このような経験を通じ、MISP構築から運用、MISPへのデータ投入の自動化についてノウハウを得てきました。今回このノウハウを公開することにより、SecureGRIDアライアンスにご参加を検討される方のファーストステップのサポートにつなげられればと思っています。

ガイドの内容のご紹介

ガイドについては随時内容の更新を考えているため、あくまで本記事執筆時点の情報となりますが、公開中の内容について簡単にご紹介します。

SecureGRIDスタートアップガイド（MISP構築ガイド）

SecureGRIDスタートアップガイド | securegrid

初めてMISPを構築する方に向けたガイドです。必要となる環境、インストール方法、動作確認などについて、手順に沿って説明しています。基本的にはこちらのガイドに沿って作業することで、MISPのインストールからWeb接続して利用ができる、という部分まで進められます。

また、SecureGRIDアライアンス参加に際して、SecureGRID PortalとMISPを連携するために必要な作業についても合わせて記載しています。

MISP運用ガイド

MISP運用ガイド | securegrid

こちらはMISP構築後、日々の運用で必要となる作業について説明しています。現在はアップグレードの方法のみの記載となっていますが、今後内容は拡充していきます。

MISP投入ガイド

MISP投入ガイド | securegrid

MISPへデータを登録する方法について、以下3パターンをご紹介しています。

• ①MISP標準で用意されている脅威情報フィード取り込み機能の利用
• ②手動でのMISP登録
• ③APIを使ったデータ登録

①MISP標準で用意されている脅威情報フィード取り込み機能の利用

MISPには標準でオープンソースの脅威情報フィードを取り込む機能が用意されています。
簡単な画面操作のみで取り込みを有効化でき、特段の作業を行わなくてもまずはMISP上でデータを扱ってみる、という体験がすぐに可能です。初めてMISPに触れるという方は、MISP構築が完了したらフィード取り込み機能を使って、MISPの雰囲気を把握することをおすすめしています。

②手動でのMISP登録

MISPの画面上から直接手動でデータ登録することも可能です。
最も基本的な登録方法は、イベントを作成して必要な値を1件ずつ登録していきます。MISPのデータ構造を理解しやすいので、テストイベントを作成してみることをおすすめします。

一方で、データが大量にあるようなケースでの継続的な運用としては現実的ではありません。その場合、MISPに用意されているファイルからの一括インポートの機能や、以前に当社で公開したCSVからのデータインポートツール^※2を合わせてご紹介しています。こういったツールを活用することで、APIを利用するプログラムの作成などを行わなくても、手元のデータをある程度効率的にMISPへ登録することが可能です。

※2 GitHub - LAC-Japan/MISP-CSVImport: CSV import tool for MISP

③APIを使ったデータ登録

MISPには各種操作をAPI経由で行うための仕組みが用意されています。
こちらは基本的なRest APIとして実装されているため、Webリクエストが行えれば多様なプログラミング環境から利用が可能です。

今回のガイドでは、我々の利用実績が豊富なpython用のライブラリであるpymisp^※3を使ったMISP登録について、サンプルコードを含めてご紹介しています。

※3 GitHub - MISP/PyMISP: Python library using the MISP Rest API

まとめ

SecureGRIDアライアンスは、参加組織それぞれが脅威情報を提供し合い、データを連携・共有しつつ各参加者のセキュリティレベルの向上をしていく点が重要なポイントです。

そして、SecureGRID Portalではこの情報連携・共有の共通基盤としてMISPを利用しています。そのため、SecureGRIDアライアンス参加に当たっては、MISPの環境構築と情報をMISPに登録する仕組みのご用意をお願いしております。これまでMISPを活用していない方には、環境構築やデータ投入環境の構築といった初期導入のハードルがありますが、自組織のサイバー脅威への対応やセキュリティ対策のレベルアップを図る良い機会となるはずです。

* 参加申し込みいただく時点でご用意いただく必要はありません。参加申し込みいただいた後、事務局とやり取りしつつ用意を進めていただくことを想定しています。

当研究所では、アライアンス内で脅威情報流通が活性化する仕組みの技術開発や研究データの活用など、参加組織のサイバーセキュリティ対策の強化に繋がる活動を実現して参りますので、ご期待ください。

今回ご紹介したガイドが、SecureGRIDアライアンスへご参加される際の一助になれば幸いです。また、SecureGRIDアライアンス事務局としてもできるかぎりサポートいたしますので、お気軽にご相談ください。