組織を横断して脅威情報に立ち向かう「SecureGRIDアライアンス」とは

標的型攻撃や二重脅迫型ランサムウェアなど、高度で巧妙化するサイバー攻撃に対応するため、サイバー攻撃の検出や分析を行う組織が増えています。しかし、セキュリティ対策や分析を行う上で一つの組織が、収集できる脅威情報の量や質、効率的で正確な分析を行うには限界があります。

そこで、サイバー・グリッド・ジャパン次世代セキュリティ技術研究所は、組織間をサイバー脅威分析でつなぐ「SecureGRIDアライアンス構想」を打ち出しました。SecureGRIDアライアンスが生まれた背景や仕組み、込められた思いなどについて、独立行政法人 情報処理推進機構IPAの小林 裕士さん、株式会社Geolocation Technology取締役の但野 正行さん、ラックの小笠原が語り合いました。

※ この記事はジャーナルvol.12の記事の内容を一部抜粋したものです。詳細はジャーナルvol.12をご覧ください。

脅威情報に対して組織が連携する必要性を感じる3者が、タッグを組んだ

小笠原

ラックのサイバー・グリッド・ジャパン次世代セキュリティ技術研究所では、脅威情報（スレットインテリジェンス）に関するさまざまな研究開発を行っています。当研究所が持つ知見を多くの組織に活用いただくため、このたび「SecureGRIDアライアンス構想」を計画しました。このアライアンス構想はサイバー脅威情報の収集、分析、共有を行うための基盤を当社が提供し、参加組織の脅威情報分析支援を図り、セキュリティ向上を目的とするものです。

本日は、4月から6月に行ったアライアンスの実証実験を振り返りつつ、この構想の意義や可能性について議論をしていきたいと思います。まず自己紹介から、お願いできますか。

但野

株式会社Geolocation Technology（以下ジオロケ）の但野です。当社は「IP Geolocation」という独自のコア技術を用い、主にBtoBビジネス向けにオンラインマーケティングならびにオンライン不正検知のサービスを提供しています。IPアドレスに紐付く位置情報、組織情報などの収集・情報提供サービスでは国内唯一の企業であり、世界的に見ても類似サービスを提供しているのは3社だけです。私は役員として技術開発部を率いており、中でもサイバーセキュリティに注力しています。

小林

私は独立行政法人 情報処理推進機構（以下IPA）の産業サイバーセキュリティセンター サイバー技術研究室に所属しています。IPAは経済産業省の政策実施機関であり、IT人材育成も行っています。たとえば昨今は、サイバーセキュリティ強化が課題となっていることから法改正で新たな国家資格「情報処理安全確保支援士」が創設されましたが、この資格試験の実施もIPAの役割です。私が担当しているのは、サイバー攻撃の調査分析事業の推進と、サイバーセキュリティ人材の育成。事業の成果を社会に還元する役割を担っています。

小笠原

今回、アライアンスの脅威情報共有基盤となる「SecureGRID Portal」の実証実験に参加いただいた動機をお話しください。

但野

当社はオンライン不正検知サービス事業を手掛けていることから、もともと脅威インテリジェンスの収集に興味を持っていました。ラック主催の「サイバーグリッド・パートナー」で当社の風間という者が小笠原さんと定期的に情報交換をしているご縁から、今回の実証実験にお声がけいただき、参加しました。

小林

私は以前から、日本企業や日本の組織を守る新たなセキュリティの枠組みが必要だと考えておりました。というのも、既存の大手セキュリティベンダーのサービス対価は高額で、グローバル企業のような大企業でなければ簡単には支払えません。また、支払えたとしても、それに見合う恩恵を日本企業が受けられるかは疑問です。だから他の選択肢も必要だと思っていたのです。

但野

確かに、グローバル企業がセキュリティにかける費用は、桁がまったく違います。しかし攻撃する側は無差別に仕掛けるから、規模の大小に関わらず企業は守りを固めなければならない。そこが問題ですね。

小林

しかもベンダーが扱うデータ量、ストレージは増える一方で、今後もコスト増は免れません。膨大な設備投資により、セキュリティベンダーが将来的に経営破綻する危険もある。そこでIPAとしても、日本企業を守ための脅威情報の共有の仕組みづくりを検討していたのです。現状、企業は自社が持つ脅威情報を外部には出しません。競合他社に有益な情報になる可能性があるからです。そこで公共機関が中立な立場で情報を集約して、分析情報を個別企業に再配信できないものかと考えていたのです。このようなアイデアをジオロケの風間さんと話し合っていたところに、本実証実験の話が舞い込み、興味深い取り組みだと感じて参加しました。

小笠原

ジオロケの風間さんが脅威情報の共有に興味を持つ我々をつなげてくださり、今回の実証実験が実現しました。残念ながらこの場にはいらっしゃいませんが（笑）風間さんには感謝しております。

各組織が構築したMISPとSecureGRID Portalを連携させることで、横断的な分析を実現

小笠原

ここで実験の概要を私から紹介をします。情報分析ならびに運営を担当する我々ラックは、脅威情報共有基盤「SecureGRID Portal（セキュアグリッド・ポータル）」を用意しました。当社は2年前に、社内で運用する脅威情報ポータルサイト「LAC Journey（ラック・ジャーニー）」を開発しており、このLAC Journeyの機能を拡張して外部と連携できるものにしました。

そして参加者側のジオロケとIPAには、それぞれ連携対象となるシステムとデータを用意していただきました。システムはオープンソースであるMISPを採用してそれぞれ自組織で蓄積している脅威情報をインポートしてもらい、我々のSecureGRID Portalとシステム連携させました。

小林

連携対象システムにMISPを採用されたという点で、MISPはオープンソースでコスト面でのハードルも低く、ベストに近い選択肢であると感じました。

小笠原

ありがとうございます。それぞれ、どのようなデータをMISPにインポートしたのかご説明いただけますか。

但野

当社のサービス「どこどこJP」のアクセスログのうち、自分の身元を隠そうとしていると思われる匿名属性と判定したデータをMISPにインポートしました。当社では、金融機関など必要とする企業に匿名属性データを提供するオプションサービスを行っているので、そのデータを提供してみたのです。公開プロキシサーバ経由、VPN経由、アマゾンやグーグルなどのクラウドサービスと思われるIPアドレス経由、Torなどダークウェブといわれるネットワーク経由の4種類のデータを匿名属性と判定しています。

小林

我々は「IPAlert」と呼んでいる約16,000台のハニーポットを運用しています。実証実験では、国内に設置中のハニーポットに対するサイバー攻撃情報に絞ってデータ提供をしてみました。つまり、ハニーポットに攻撃を仕掛けてくる攻撃元IPアドレスがMISPに蓄積されています。我々のハニーポットは、観測に占有しているIPアドレス空間で運用をしており、MISPに蓄積されているIPアドレスは、マルウェア感染した機器等に割り当てられている確度が高いと考えられます。

小笠原

両社には、SecureGRID Portalで横断検索する前提のもと、データとMISPのインストール環境の用意をこちらからお願いしました。データのインポートについては、当研究所のメンバーが支援を行なってデータ投入までの自動化を進めました。

当社側で横断検索をかけるデータとしては、中国系サイバー攻撃集団「BlackTech（ブラックテック）」が残した痕跡情報（IoC）を用いました。これは別のプロジェクトで研究開発中のIoC自動収集ツール「NAKAMA」で集めたものです。今回は、用意していただいたデータの特性上、IoCの中でも、マルウェアのファイルハッシュ値や、マルウェアに感染した場合に出る通信先情報のIPアドレスやドメイン情報だけに絞って、分析を試みました。

その実験結果ですが、合計710件のIoCで検索をかけたところ、ジオロケのMISPでは13件がヒットしました。この13件はIPアドレスでヒットしたのですが、BlackTechに直接的に関連するような情報は得られませんでしたが、いずれも匿名属性のクラウドサービスで使われているIPであることがわかりました。一方IPAのMISPではヒットしませんでした。検索時間は1,000件当たり7分で、実測値としては良い感触を得ました。

小林

IPA-MISPのデータが今回用意したデータにヒットしなかったのは、少し特殊なデータだったからかもしれません。先ほど説明した通り、ハニーポットは観測に占有しているIPアドレス空間に設置しているため、攻撃元IPアドレスとしてMISPに蓄積されるデータはボットネットのような無作為に攻撃を試行するIPアドレスを想定しています。もしヒットしたらそれぞれの事象に関係があるかもしれないと思っていました。

小笠原

全体的にヒットが少なかった原因としては、両社にご用意いただいたデータが直近4月データなのに対し、BlackTechのIoCは主に2019年ごろに発見されたものであり、時期がずれていたことが挙げられます。ただヒットした13件について深掘りして調査したところ、有用な分析が行える感触をつかみました。今後MISPにインポートするデータをどのように加工すれば分析精度を高められるのか、さらに検討を進めます。またIPA-MISPのデータ特性と相性が良さそうな別の脅威情報を当研究所扱っていますので、今度はその情報を用いて分析してみようと思います。

サイバーセキュリティの要諦である「集合知」と「継続」を無理なく実現できる確信を得た

小笠原

今回ヒット数が少なかったことは残念でしたが、実験の構想から実施・完了までわずか4カ月間という短期間で行うことができたのは、ひとえにジオロケ、IPAのご協力のおかげであり、大変感謝しています。まずは組織間横断で脅威情報の連携ができたこと自体に、大きな意義があったといえます。

小林

その通りです。私が今回の試みで特に面白いと思ったのは、アライアンスという形で情報を集積しつつ、分散型で検索する仕組みです。日本を狙っている攻撃者の情報を集める仕組みとなる上、一社に膨大なデータが集積するのではなく、データは個社のMISP分散をしているところが、新しい。このアライアンスが実現すれば、日本企業にとってセキュリティ対策の大きな選択肢の一つになると期待しています。参加組織が増えると、「攻撃者が攻撃前調査でスキャンしている」といった情報が、基盤の中で得られるのではないでしょうか。

但野

ヒットしたデータでなく、ヒットしなかったデータに着目することも考えられます。たとえば、WebサーバのアクセスログとIPSやWAFのセキュリティログをSecureGRID Portal上でマッチングさせて、「マッチしなかったアクセスログについては脅威ではない」といった、ふるいの掛け方もできるのではないでしょうか。ボットネットなのか、単純なミスでアクセスしてきた悪意のないユーザーなのかを仕分けするのに有用でしょう。

小笠原

確かに、収集したデータと分析する観点との組み合わせによって、さまざまな解析が行えそうです。

但野

サイバー犯罪が複雑化・高度化する中で、それに対応しようと各所にいろいろな組織が立ち上がってはいますが、うまく機能している例は多くありません。そんな中、今回の実験で確実に情報共有ができる場がつくれたことが素晴らしい成果です。今後は、参加メンバーを増やし、その中でさらなる情報共有を目指していきたいですね。

小林

私は2011年からサイバーセキュリティ業界に入り、今年でちょうど10年になります。当初はインシデントレスポンスを担当し、最前線で高度化するサイバー攻撃に対抗する手段を模索してきました。その経験から持論としているのは、「サイバーセキュリティの要諦は、『集合知』と『継続』」だということ。本取り組みは『集合知』と『継続』の実現が可能な方法であり、より多くの企業・組織が活用することで日本の産業を守り、日本経済の発展にも貢献できると感じました。

小笠原

この取り組みを発展させて、実現させたいことはありますか？

但野

当社が収集しているデータは、正常に稼働しているWebサイトへのアクセス情報です。この中にどのくらいの脅威情報が観測されるのかを知りたいですね。また脅威グループが使用するIPアドレスの共有、さらには攻撃予測ができるようになることを期待しています。

小林

参加企業・組織が増えれば、「今この業界が狙われている」といった知見を得ることにつながるし、情報提供する個社においてはアノマリの通信先のレピュテーション向上にも役立つことが期待できます。その先は、法執行機関等と連携し、犯罪捜査の協力することでサイバー攻撃の抑止にまでつながれば良いですね。

参加する各組織のサイバーセキュリティ能力向上をめざし、日本の産業をサイバー脅威から守る

小笠原

今後の展開としては、実証実験で見つかった改善点を修正した後、広報活動などを通じて企業・行政機関・大学などにアライアンスへの参加を呼びかけます。ちなみに、アライアンスへの参加費用は無料。当社はこのアライアンスの中で取り組んだ分析活動や機能開発したものを研究成果としてあげることができますし、参加組織は自社のセキュリティ対策の向上につながるwin-winの関係になることを期待しています。

振り返ると、このアライアンス構想はコロナ禍だから実現できたともいえます。コロナ以前、脅威情報の共有は協議会などオフラインでの場での情報交換に限られていました。それがコロナで対面の機会が激減したのをきっかけに、システム連携を通じた情報共有を推進すべきだという発想が強まりました。

但野

一方、コロナ禍で否応なくテレワークを増やした企業の中には、情報セキュリティへの不安を感じている企業が多く、セキュリティに対するニーズはこれまで以上に高まっています。安心安全なネット環境を提供することは、今日ここに集まった我々共通の使命ですから、このアライアンスを通じて一刻も早く「安心安全」を実現させたいですね。

小林

いま世の中では、急速にDXが加速しています。時代の転換点と呼べる時期に、奇しくも脅威情報連携に弾みがついたことに、意味を感じます。DXのコンセプトは、「デジタルにできることはデジタルに任せる」。ITセキュリティにおいて、人の手を煩わせずに情報の選別がシステマティックにできるようになれば、セキュリティ確保とコスト削減の両立にもつながります。セキュリティ投資にこれまで理解を示さなかった経営陣への説得材料にもなり、まさに時代にマッチした取り組みだといえるでしょう。

また日本のITセキュリティに長年取り組んできたラックが構想の旗振りをして、そこにIPサービス・匿名情報サービスというユニークなサービスを展開しているジオロケが加わることで、今後発展的な活動が展開されることを期待します。国の政策実行機関である我々IPAもアライアンスメンバーとして有益な情報を提供しつつ、今後も協力していきたいと考えています。

小笠原

本アライアンスの肝のひとつは、参加組織自身が、ある程度、情報分析の視点を持って自分たちのデータを整理しなければならない点です。もちろん我々ラックは参加組織に対して支援を行うことができますが、丸投げで請け負うのは難しいです。アライアンス参加を機に、脅威情報の活用の見直しや新たな取り組みを検討していただき、活動を通じて組織のセキュリティレベルが高まることを期待しています。そして多くの組織に参加してもらうことで、日本全体のセキュリティ能力が底上げできれば、本望です。本日は貴重なご意見をありがとうございました。今後ともよろしくお願いいたします。