サイバーセキュリティ研究所TOPEnglish

development team開発チーム

サイバーセキュリティ研究室では、大規模な観測・分析基盤から各種可視化エンジンまで我々の研究開発のコア技術をインハウスで開発するための開発チームを構築しています。
開発体制を研究室内に持つことで、研究開発のサイクルを迅速に回し攻撃者の進化に追従できるほか、研究成果を活用したシステムを高い完成度で実装・検証することで、スムーズな社会展開に繋げることができます。

プロジェクト紹介

01NICTERダークネット観測システム

大規模通信データをリアルタイムに収集・蓄積・分析する基盤システム

NICTERダークネット観測はサイバーセキュリティ研究室の主要なサイバーセキュリティ情報の収集源になっています。このダークネット観測システムでは、国内外の約30万IPアドレスもの観測網に届く攻撃関連通信(パケット)をリアルタイムに収集・蓄積・分析・可視化しています。近年のサイバー攻撃の活発化により、観測データの規模は今や秒間15,000パケットにも及び、我々がこれまでに収集したパケットデータ数は約1兆7500億件にもなります。
開発チームでは、これらの膨大なパケットデータをリアルタイムに漏れなくデータベースに蓄積し、研究者や解析者の検索や分析作業をストレス無く実現するための数十台のサーバで構築された大規模な分散データベースや基礎統計データを事前生成しておく統計情報システムを含め、今後の観測データ増大に耐えうる柔軟かつ安定性のあるシステム開発を進めています。また、データの傾向把握や分析処理を手助けする可視化システムや分析システムも内製化することで、研究者の成果や解析者のノウハウを迅速に実オペレーションに活かせる体制になっています。

02対サイバー攻撃アラートシステムDAEDALUS

DAEDALUSによるアラート可視化

DAEDALUS (Direct Alert Environment for Darknet And Livenet Unified Security) は NICTER 大規模ダークネット観測網を活用した対サイバー攻撃アラートシステムです。従来のサイバー攻撃対策では、組織内ネットワークがインターネットと接続しているネットワーク境界において、FW(ファイアウォール)やIDS(侵入検知システム)によって組織外からのサイバー攻撃を検知・防御する「境界防御」が主流となっていました。しかしながら、IoTやクラウドの普及等により境界防御だけでは組織を守りきれなくなっています。DAEDALUSは組織内から送出される異常な通信をダークネット観測網で捉えることで組織内のマルウェア感染端末を早期に検知し、当該組織に対してリアルタイムにアラート情報を送信することで、セキュリティインシデントへの迅速な対応を可能とします。

開発チームでは、DAEDALUSシステムを構成する大規模データベースやアラート判定エンジン、アラート状況を一目で把握できる可視化エンジン等を全て内製で開発しています。特に可視化エンジンは大量に発生するアラート情報を直感的なインタフェースによって描画することで、オペレータによる瞬時の状況把握が可能です。

03サイバー攻撃統合分析プラットフォームNIRVANA改

NIRVANA改で可視化される組織内のアラート発生状況

開発チームでは、サイバー攻撃統合分析プラットフォーム NIRVANA改の開発を進めています。NIRVANA改は組織内のトラフィック情報や各種セキュリティ機器が発報するアラート情報を集約・可視化・相関分析することで、アラートのトリアージ(優先順位付け)や、異常な通信を遮断するアクチュエーションを可能にする次世代SIEM(Security Information and Event Management)システムです。開発チームではNIRVANA改の継続開発を進めており、IPv4ネットワークだけでなくIPv6ネットワークに対応するための各種機能開発や、アラート管理機能の強化(自動統計、同種のアラート分類、アラート検索機能)、EDR(Endpoint Detection and Response)ソフトと連携しエンドホストの不信プロセスの検知や遮断機能、国産脆弱性スキャナと連動した脆弱性管理機能といった様々な機能強化に取り組んでいます。

NIRVANA改は解析チームやNICT-CSIRTによるセキュリティオペレーションに活用され、実組織のセキュリティ向上に役立っているほか、民間企業への技術移転を通じた社会展開も進んでいます。

04サイバー模擬攻防戦可視化システム

国内CTF大会のリアルタイム可視化

セキュリティの人材不足が社会的課題となっていますが、サイバーセキュリティの知識や技術を駆使して、隠されているFlag(答え)を見つけ出し、合計点数を競うCTF(Capture The Flag)が国内外で多数開催されています。NICT開発チームでは、サイバー攻撃の可視化エンジン開発のノウハウを活かし、CTFの攻防戦をリアルタイムに可視化するシステムを開発しています。リアルタイムに競技の状況が可視化されることで、今までの競技参加者以外には何をやっているか分かりづらいという課題のあったCTFが、一般の観戦者にも分かりやすく表示されるようになり、競技を盛り上げることができます。

開発チームではこうしたCTF可視化エンジンの開発を通じて、新たにサイバーセキュリティ分野に興味を持つ人の裾野の拡大に取り組んでいます。

back to page top