SecurityInsight | セキュリティインサイト

慶應大学と日立、複数セキュリティ対応チーム間で連携して迅速なインシデントレスポンスを実現する「分散型セキュリティオペレーション」を実証

慶應義塾大学日立製作所(以下、日立)は2月5日、複数セキュリティ対応チーム間で連携して迅速なインシデントレスポンスを実現する「分散型セキュリティオペレーション」を実証したことを発表した。

これは、高度化・大規模化するサイバー攻撃に対して、SOCやCSIRTなどの複数のセキュリティ対応チームが連携し、迅速なインシデントレスポンスを行なう「分散型セキュリティオペレーション」構想を策定し、実証環境を構築したもので、従来人手で行なっていた「セキュリティインシデントの検知から専門チームに分析を依頼し、分析データの共有を開始するまでの処理」を自動化し、1秒以内に完了できることを実証したという。

両者は今回、「分散型セキュリティオペレーション」構想を新たに策定し、その中核技術の一つとなる「動的認証認可技術」を開発。「分散型セキュリティオペレーション」と「動的認証認可技術」の特徴は以下のとおりとなっている。

1.「分散型セキュリティオペレーション」
従来のインシデントレスポンスでは、特定のセキュリティ対応チームをハブとして、インシデント情報と分析データ(ログ、不審データ、通信パケット)を集約し、人手作業で複数のセキュリティ対応チームに分析依頼と分析データの送付を行なっていた。今回策定した「分散型セキュリティオペレーション」構想では、特定のセキュリティ対応チームがすべてのインシデントレスポンスに関与するのではなく、クラウドプロバイダーなどの各組織にあるセキュリティ対応チームが自律分散的にインシデントに対処し、必要に応じて連携する。

2.「動的認証認可技術」
「分散型セキュリティオペレーション」の中核技術の一つとなる「動的認証認可技術」では、情報収集や分析などのインシデントレスポンスに求められる機能を標準化して、それぞれのセキュリティ対応チームが持つ機能を互いにリアルタイムで確認できるように。これにより、分析依頼や分析データ共有などの処理をどの専門チームへ委託するかを機械的に振り分けること(認可)を可能に。さらに、関与する組織が新たに判明する度に、認可からデータ送受信組織間の承認(認証)までの一連の処理を自動的に行なうことで、迅速なセキュリティ対策を実現する。

今後、慶應義塾大学と日立は、今回構築した実証環境を活用して「分散型セキュリティオペレーション」を実現する技術開発を進めるとともに、この技術を日本CSIRT協議会に提案し、激甚化するサイバー攻撃の脅威に対処し、社会インフラシステムの安定運用の確保に資するセキュリティオペレーションの実現に貢献していくとしている。
 

関連リンク

プレスリリース