PRESS RELEASE
2016年5月16日
富士通株式会社
米国 BAE Systems, Inc.と、サイバー脅威インテリジェンス(CTI)活用システムを共同開発
当社は、各種脅威情報を管理し、未知のサイバー脅威、APT攻撃(注1)、ゼロデイ攻撃(注2)を検知・調査するための包括的な脅威分析機能を提供する米国のBAE Systems, Inc.(以下、BAE Systems)と共同で、サイバー攻撃の5W1Hと対応策をコンピュータで扱える形式としたサイバー脅威インテリジェンス(Cyber Threat Intelligence、以下、CTI)を効率的に活用するためのCTI活用システムを開発しました。
本システムは、各種団体や企業間でサイバー攻撃に関する知見を共有し、効果的な対策を効率的に講じることを目的とし、安全、かつ容易にCTIを共有する機能と、複数のCTIを融合してさらに高度なCTIを生成して活用するための機能を提供します。当社はBAE Systemsと共に、2015年6月から、BAE SystemsのCTI共有を容易にするメタモデリング技術(注3)と、当社のサイバー攻撃への対処を効率化する自動化技術、および両者のサイバー攻撃対応ノウハウを融合して本システムを開発してきました。
これにより、経験の浅いサイバー攻撃分析官(注4)も、品質の高い分析と強靭な対処を短時間で行えるようになると考えており、今後、富士通グループの高度なセキュリティ分析を行う施設であるFujitsu Advanced Artifact Analysis Laboratory(注5)などの実践の場で本システムを活用しながらブラッシュアップを行い、2016 年度中に製品化の予定です。
当社は、安心安全なICT環境の実現に向け、本システムを普及させることにより、サイバー攻撃の分析・対処の高度化に貢献できるよう、尽力していきます。
背景
コンピュータシステムやインターネットの普及に伴い、サイバー攻撃の脅威が拡大しています。手口が巧妙で検知が難しいサイバー攻撃に対応できる、サイバー攻撃の高度分析官が不足しており、その知見や技術を効率的に、できるだけ多くの分野で活用する方法や技術へのニーズが高まっています。
CTIとは、高度分析官が、自分が実施したサイバー攻撃の分析結果である5W1H (攻撃者、時期、目的、攻撃対象、侵入経路・方法など)、対処方法の情報をコンピュータで扱える形式にしたものです。実際に、政府機関や大企業、あるいは各高度分析官が独自のCTIを作成し、サイバー攻撃への対処に活用しています。
今回、CTI活用を一歩進め、複数のCTIを統合し、より多くのサイバー攻撃情報や対処情報を備えたCTIを作成することにより、ひとつのCTIでは分析できなかったサイバー攻撃間の関係分析や、より効果的なサイバー攻撃対処が可能となります。
米国では、団体・企業間でのCTI共有を推進するため、法制の整備や、OASIS CTI技術委員会(注6)によるCTIの枠組みやCTIの情報送受信手順などの標準化が行われています。
富士通とBAE Systemsによる CTI活用システムについて
BAE Systemsと共に開発したCTI活用システムは、以下の機能を提供します。
- 団体、企業間で安全かつ容易にCTIを共有するための機能
各種の団体や企業の間でCTIをやり取りする場合、どのような情報を相手と共有するかというCTI共有ポリシーを、その団体・企業の情報セキュリティポリシーに基づいて決定します。その後、CTI共有ポリシーに基づいてCTIから相手に提供する情報を抽出し、メールなどを利用して共有しています。その結果、CTIから情報を抽出する方法が属人的になり、CTI共有ポリシーを的確に実現する情報抽出が難しいという課題がありました。また、メールで共有した情報を、システムで利用できる形式に変換し、蓄積するための作業が必要となるため、CTI共有が活性化しないという課題もありました。
本システムは、OASIS CTI技術委員会が定める標準形式でCTI情報を送受信する機能、およびCTI共有ポリシーを的確に実現する情報抽出機能を提供します。
- 高度なCTIを生成・活用するための機能
- 異なるマルウェア間の関連性を見つけ出す検体類似性判定エンジン:
検体として得られたマルウェア実行ファイルの構成と動作の特徴に基づいて、複数のマルウェア間の類似性を判定します。これにより、類似するサイバー攻撃間の関係性を容易に発見することが可能です。
- CTI解析・編集機能:
CTIに登録されているサイバー攻撃の5W1Hや対処方法などの構成要素を円で示し、要素間の関係を線でつないで表す機能を装備しています。元のサイバー攻撃の要素と一致する、あるいは類似しているサイバー攻撃を関係性があるサイバー攻撃として抽出し、並べて表示することにより、関係性を目視して検討することも可能です。複数のサイバー攻撃を図化して並べることにより、従来は見つけることができなかった攻撃者情報などのサイバー攻撃の要素を発見しやすくなります。
- 欧米組織とのCTI連携を支援する、セキュアーなプライベート翻訳機能:
CTIの情報は、作成された国の言語で記録されているため、他国で作成されたCTIとの連携には翻訳が必要となります。オンラインで提供されている翻訳機能を利用すると、翻訳対象となったサイバー攻撃の情報をインターネット上に出すことになるため、そのサイバー攻撃がすでに分析されCTI として共有されていることを攻撃者に察知される可能性があります。これを避け、サイバー攻撃対処に先んじた欧米諸国の英語で作成されたCTIとの連携を促進するため、本システム内で英文和訳が可能な翻訳機能を装備しています。
- 高度な分析を効率的に行える自動化エンジン:
分析中に出てきたマルウェアや通信先 IP アドレスに基づいて、適切と考えられる解析手法、対処方法を提示する機能を装備しています。これにより、容易かつスピーディーなサイバー攻撃への対処が可能となります。
- 異なるマルウェア間の関連性を見つけ出す検体類似性判定エンジン:
- BAE Systemsとの強固なパートナーシップ
米国防衛産業は高度なサイバー攻撃から自身のデータを守るための豊富な経験を有します。それらの攻撃への対処を通じ、サイバー攻撃対処のノウハウを蓄積し、サイバー攻撃の分析・対処能力を確立しています。特に、BAE Systemsは長年にわたり、効果的なセキュリティを最小限の高度分析官によって実現する効率的なセキュリティプロセスでGlobal SOCを運用してきました。
BAE Systemsはデータ分析実績と、世界中の政府や企業にサイバー防御を提供することで得られた経験を活かしてBAE Systemsは各種脅威情報を管理し、未知のサイバー脅威、APT攻撃、ゼロデイ攻撃を検知し、調査するための包括的な脅威分析機能を提供しています。
当社はBAE Systemsとの連携を継続し、製品化を進めていきます。
商標について
記載されている製品名などの固有名詞は、各社の商標または登録商標です。
以上
注釈
- 注1 APT攻撃:
- 脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人をねらう、執拗な攻撃。
- 注2 ゼロデイ攻撃:
- ソフトウェアの脆弱性が発見されてから修正プログラムなどの対策が提供されるまでの間に行われる攻撃。
- 注3 メタモデリング技術:
- 実世界のものや事象をコンピュータで処理できる表現にする、よく知られた数学的かつコンピュータ科学的なツールからなる技術。
- 注4 サイバー攻撃分析官:
- 官公庁やSOC(CSIRT)を所有する大手企業で、サイバー攻撃の分析とサイバー攻撃への対処を担当する人。
- 注5 Fujitsu Advanced Artifact Analysis Laboratory:
- セキュリティに関する情報をグローバル規模で集約し分析する施設であり、富士通株式会社と株式会社PFUが共同で、2015年11月18日に東京と横浜に設立。
- 注6 OASIS CTI技術委員会:
- 標準化団体OASIS(Organization for the Advancement of Structured Information Standards)の技術委員会の一つで、CTI共有の3つの標準 CybOX(Cyber Observable Expression)、STIX(Structured Threat Information Expression)、TAXII(Trusted Automated Exchange of Indicator Information)を策定する。
関連リンク
- BAE Systems, Inc.公式ホームページ
- 「セキュリティ運用をトータルでサポートする新サービスの提供開始と高度なセキュリティ分析を行う施設を新設」 (2015年11月18日 プレスリリース)
本件に関するお問い合わせ
富士通コンタクトライン(総合窓口)
0120-933-200
受付時間: 9時~17時30分(土曜日・日曜日・祝日・年末年始を除く)
プレスリリースに記載された製品の価格、仕様、サービス内容、お問い合わせ先などは、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。