TOKYO, Feb 5, 2018 - (JCN Newswire) - 慶應義塾大学(塾長:長谷山 彰)と株式会社日立製作所(執行役社長兼CEO:東原 敏昭／以下、日立)は、高度化・大規模化するサイバー攻撃に対して、SOC*1やCSIRT*2などの複数のセキュリティ対応チームが連携し、迅速なインシデントレスポンスを行う「分散型セキュリティオペレーション」構想を策定し、実証環境を構築しました。従来人手で行っていた「セキュリティインシデントの検知から専門チームに分析を依頼し、分析データの共有を開始するまでの処理」を自動化し、1秒以内に完了できることを実証しました。今後、慶應義塾大学と日立は、本構想の実用化に向けた研究を進め、社会インフラシステムの安定運用の確保に資するセキュリティオペレーションの実現に貢献していきます。

サイバー攻撃のスピードは年々高まっており、短時間に多拠点が攻撃されるリスクは増加しています。さらに、クラウドやBYOD*3の進展で、守るべき対象が自組織のシステムからクラウドや個人端末にまで拡大しており、革新的なセキュリティ対策が求められています。

慶應義塾大学と日立は、2016年2月より、サイバー攻撃に対するセキュリティ運用管理や個人情報の安全性に関する共同研究を開始しました*4。今回、25年以上にわたりインターネットの進展に貢献してきた慶應義塾大学の知見と、社会インフラシステムの構築やセキュリティインシデントの予防・対応に努めてきた日立の知見を融合して、「分散型セキュリティオペレーション」構想を新たに策定し、その中核技術の一つとなる「動的認証認可技術」を開発しました。「分散型セキュリティオペレーション」と「動的認証認可技術」の特長は以下の通りです。

1. 「分散型セキュリティオペレーション」について

従来のインシデントレスポンスでは、特定のセキュリティ対応チームをハブとして、インシデント情報と分析データ(ログ、不審データ、通信パケット)を集約し、人手作業で複数のセキュリティ対応チームに分析依頼と分析データの送付を行っていました(図(a))。今回策定した「分散型セキュリティオペレーション」構想では、特定のセキュリティ対応チームがすべてのインシデントレスポンスに関与するのではなく、クラウドプロバイダなどの各組織にあるセキュリティ対応チームが自律分散的にインシデントに対処し、必要に応じて連携します。

2. 「動的認証認可技術」について

「分散型セキュリティオペレーション」の中核技術の一つとなる「動的認証認可技術」では、情報収集や分析などのインシデントレスポンスに求められる機能を標準化して、それぞれのセキュリティ対応チームが持つ機能を互いにリアルタイムで確認できるようにしました。これにより、分析依頼や分析データ共有などの処理をどの専門チームへ委託するかを機械的に振り分けること(認可)を可能にします。さらに、関与する組織が新たに判明する度に、認可からデータ送受信組織間の承認(認証)までの一連の処理を自動的に行うことで、迅速なセキュリティ対策を実現します(図(b))。

本技術の効果を検証するため、慶應義塾インフォメーションテクノロジーセンターで監視しているインシデントの分析対象データを、日立の「オープンラボ横浜*5」にある研究用のSOCに送付し、分析を委託する実証環境を構築し、2017年11月より評価を開始しました。この結果、従来は担当者の習熟度によって、数分から数時間とばらつきのあった「インシデント検知から分析を依頼する一連の処理」を1秒以内に完了できることを確認しました。

今後、慶應義塾大学と日立は、今回構築した実証環境を活用して「分散型セキュリティオペレーション」を実現する技術開発を進めるとともに、本技術を日本CSIRT協議会*6に提案し、激甚化するサイバー攻撃の脅威に対処し、社会インフラシステムの安定運用の確保に資するセキュリティオペレーションの実現に貢献していきます。

なお、本成果は、2018年3月6日に開催される「情報処理学会インターネットと運用技術研究会」で発表予定です。

本リリースの詳細は下記URLをご参照ください。
http://www.hitachi.co.jp/New/cnews/month/2018/02/0205a.html

概要：日立製作所

詳細は www.hitachi.co.jp をご参照ください。

Copyright 2018 JCN Newswire. All rights reserved. www.jcnnewswire.com