見出し画像

Research on Sophistication and Improving Efficiency of Practical Security Operations

情報処理学会・学会誌「情報処理」

2022年度研究会推薦博士論文速報
[コンピュータセキュリティ研究会]

藤井 翔太
((株)日立製作所 研究開発グループ 研究員)

邦訳:実践的なセキュリティオペレーションの高度化と効率化に関する研究

■キーワード
セキュリティオペレーション/業務効率化/SOC/CSIRT

【背景】サイバー攻撃への対応(セキュリティオペレーション)の需要増加
【問題】セキュリティオペレーションを実施する人員の不足
【貢献】オペレーションごとの課題整理と高度化・効率化手法の実現

 サイバー攻撃が年々増加している.2018年から2021年にかけて1年間に観測されたサイバー攻撃関連の通信数が2.4倍になったという報告があり,現在もその数は増加傾向にある.また,攻撃は増加するだけでなく高度化している.具体的には,攻撃目的が情報窃取やテロのような明確に悪意を持ったものに変遷しており,また,無差別な攻撃だけでなく,特定の組織を狙った標的型攻撃が登場し,より検知が困難になっている.こうした状況から,各組織はSecurity Operation Center(SOC)やComputer Security Incident Response Team(CSIRT)と呼ばれる組織を設置し,サイバー攻撃の検知や対応を図っている.他方で,SOC/CSIRTにおいては人手不足が叫ばれており,効率化が必要である.

 そこで,本研究では,SOC/CSIRTの業務を整理するとともに,高度化/効率化を阻害し得る課題を導出した後,各課題を緩和する手法を提案した.具体的には,(課題1)サイバー脅威セキュリティインテリジェンス(CTI)の人手での活用が高コスト,(課題2)機密情報の追跡と漏洩検知が困難,(課題3)マルウェアの解析に係る支援機構の実態が不明瞭,(課題4)悪性通信を検知するためのシグネチャの作成が高コスト,という課題を導出した.また,上記(課題1)~(課題4)を緩和することによるSOC/CSIRTに関する業務の高度化および効率化を目的とし,以下の研究を実施した.

  1. 脅威情報について記載されたCTIを活用することにより,最新の脅威が把握でき,事前対処や有事の対応の効率化が可能となる.しかし,CTIは非構造の文章として公開されることが多く,その数が大量であることからすべてを人手で確認することは非現実的である.そこで,本研究では自然言語処理技術と機械学習を用いて文章からマルウェア名等を抽出し,構造化することによって,読解コストの低減や機械処理による分析効率化を可能とした.

  2. 機密情報はファイルコピー等で計算機内を拡散することから正確な所在の把握が難しく,誤操作や管理ミスでの情報漏洩事例が多発している.そこで,外部から利用者の計算機内で実行される処理を監視し,機密情報の拡散を追跡すると共に外部への情報漏洩を検知することで,利用者の損失を抑制する機構を実現した.

  3. マルウェアを伴うサイバー攻撃を検知した際,サンドボックスと呼ばれる実行環境でマルウェアを動作させ,その挙動を把握して対策に活用する.この際,マルウェアの機能や特徴を自動で判定する支援機構が存在し,解析の効率化に寄与している.他方で,各サンドボックスにおける支援機構はブラックボックスとなっており,その実態が不明瞭なことから,実業務への適用が難しい面もある.そこで,各支援機構について調査を行い,実態把握やベストプラクティスの導出を行った.

  4. 脅威への対処完了後,同様の攻撃を自動で検知できるようにするため,攻撃を検知するシグネチャを作成する.しかし,シグネチャの作成には高い専門性が必要性で属人性が高い.そこで,検知した脅威の共通部分を抽出し,シグネチャを自動で作成する機構を実現した.

 以上の研究について,プロトタイプの実装や各種評価を通してSOC/CSIRTへの適用性や実用性を実証し,業務の高度化および効率化の目途を得た.

(2023年5月23日受付)
(2023年8月15日note公開)

ー ー ー ー ー ー ー ー ー ー ー ー ー ー ー ー ー ー
 取得年月:2023年3月
 学位種別:博士(工学)
 大学:岡山大学
 正会員
ー ー ー ー ー ー ー ー ー ー ー ー ー ー ー ー ー ー

推薦文[情報環境領域]コンピュータセキュリティ研究会
本博士論文は,セキュリティオペレーションを支援するために,SOC/CSIRTにおける課題を解決する4つの手法を提案している.提案手法により,サイバー脅威セキュリティインテリジェンスの効率的な分析支援手法を実現するなど,これまで人手に頼ってきたオペレーションを自動化する有用な手法を実現している.

研究生活  現職の企業研究所には修士課程を修了して就職しましたが,社内外の博士の方々と仕事を進める中で自身の知見を広げたいと考え,社会人博士としての進学を決意しました.本研究は,主に入社後に実務を行っている方々からお聞きした課題の緩和を試みるものであり,社会人かつ博士課程という立場ならではの大変有意義な研究活動を経験することができました.普段の仕事と学業の両立は充実していながらも予想以上に大変でしたが,その分得られたものも大きかったように思います.万人に手放しでお勧めできるものではないかもしれませんが,博士への興味がある方は,社会人博士も選択肢としてご検討いただくのもよいかと思います.

最後になりましたが,社会人博士以前よりご指導を賜りました指導教員の山内利宏先生をはじめ,先生方,研究室の皆様,同僚の皆様,および家族に,この場を借りて感謝申し上げます.