情報誌「CYBER GRID JOURNAL Vol.1」公開の裏側

本日当社より、サイバー・グリッド・ジャパンの情報誌「CYBER GRID JOURNAL（サイバー・グリッド・ジャーナル） Vol.1」を公開しました。

私自身、サイバー・グリッド・ジャパン内の次世代技術開発センターに所属しており、今年度初めから行ってきた研究内容がこの情報誌「CYBER GRID JOURNAL Vol.1」の技術トピック「リサーチャーの眼」に掲載されました（合わせてプレスリリースも公開されています）。
今回のブログでは、この研究・開発について、情報誌とはまた別の開発寄りの視点でご紹介したいと思います。

研究の概要

詳細につきましては、情報誌「CYBER GRID JOURNAL Vol.1」の内容をご確認いただければと思いますが、大まかにいうと、社内のPCの状況をまとめてチェックして、マルウェアによる攻撃を受けている端末が存在しないか、また存在する場合はどの程度被害が広がっているのか、といった事を調査する手法の研究を行っており、そのためのツールを開発しています。
従来では、攻撃を受けた可能性のある端末を詳細に調査する場合、フォレンジックの手法を使って、1台ずつ時間をかけて調査する必要がありました。しかし、最近では大規模な標的型攻撃も増加しており、1台ずつ端末を調査していくという方式では、被害の全容を把握して有効に対応するには時間がかかり過ぎるという問題がありました。
そこで今回、社内の数千台・場合によっては数万台という端末についてまとめて情報を収集し、その中から攻撃を受けている可能性のある端末を絞り込み、効率よく対応できるのではないかということで、始まったのが今回の研究となります。

開発を進める上での課題
そもそも要望が理解できないという問題

今回の研究では、これまで多くのセキュリティインシデントの調査・対応を実施してきたサイバー救急センターの協力で進めています。私はその中で、サイバー救急センターが実現したい要件を伺いつつ、それを元にツールの開発を行うという役割を担いました。

しかしこれがなかなか大変でした！私はこれまでJSOCで利用しているLAC Falconの開発や、APT先制攻撃サービスの開発などセキュリティ関係のシステム開発に携わってきてはいたのですが、具体的なフォレンジックの手法に関する知識はほぼ皆無でした。そのため、当初、要望が上がっても、内容の意味することがなかなか理解できず、何が実現できたら有用なツールになるのか、ということを把握することは容易ではありませんでした（私以上に、要望を上げる度に質問で返されたサイバー救急センターが大変だったことと思います）

要望の中で、不明点については細かい部分まで何度も説明してもらい、またそれを元に検討したツールの要件についても都度、説明し、確認してもらうというプロセスをしつこいくらい繰り返したことで、ある程度、要望を実現できるツールが出来上がってきたのではないかと思っています。

今回の研究・開発で得られたもの

今回の研究・開発を通して、フォレンジックについていくらか詳しくなれたのではないかなと思っています。これまでディスク上でのファイルデータの保持のされ方やOS（Windows）のレジストリについてなど、概要的な知識はあっても、具体的なデータの内容やそれが意味することはほとんど意識したことがありませんでした。今回のツールの対象としている箇所は、フォレンジックという技術の内の極一部に過ぎず、「フォレンジックに詳しくなった」というにはあまりに部分的な知識ではありますが、それでも新しい分野の知識を得られたことは今回の開発で個人的に大きな意義であったと感じています。

今後の予定

今後は、継続して開発・検証を進め、まずはサイバー救急センターのインシデント対応で役立ててもらうことを目指しています。さらに今回の研究・開発で得られた知見やノウハウを元に、他の研究への応用も進めて行く予定でいます。こちらについてはまた発表できる段階になりましたら、ご紹介させていただければと思っています。