現在地

脅威インテリジェンスプラットフォーム(TIP)「EclecticIQ Platform」

昨今CSIRT*1のようなセキュリティ組織では、オープンソースの脅威情報、セキュリティベンダーが集めた脅威情報、各セキュリティ機器が検知した脅威情報、組織間で共有される脅威情報や、各製品における脆弱性情報など、取り扱う情報の種類および情報量は飛躍的に増加している一方で、このような外部からの脅威情報と、自組織での調査/検知した脅威情報を統合した分析が求められています。
このような対応のために、多種、大量の脅威情報の収集、分析、共有を行う「脅威インテリジェンスプラットフォーム(TIP)」の導入・利用が大規模な組織を中心に進められています。

TIPとは

「脅威インテリジェンスプラットフォーム(TIP)」は、SOCやCSIRT、またはそのような組織を束ねるISAC*2などが、サイバー脅威情報を収集、分析、共有を行うための基盤となるものです。

導入効果

  • 連携組織への脅威情報収集/脅威情報配信共有の効率化や自動化が可能になります。
  • CSIRTなどの組織が行う注意喚起の効率化を実現します。
  • 分析を行うアナリストは、攻撃の特性を踏まえた最適な判断が可能になります。
  • 情報元や形式が異なる脅威情報を集約して分析が可能になります。
  • 脅威情報の関連付けや分析機能により、複数の情報を横串で見るといった分析が可能になります。

TIP利用イメージ

CSIRT運用におけるTIPの位置づけ

CSIRT運用時に以下のようなタスクを支援するソリューションとして活用可能です。

CSIRT運用時のタスク例

EclecticIQ Platformのおもな機能

脅威インテリジェンスの収集
さまざまな形式の脅威インテリジェンス情報の取り込みが可能です。
構造化されたデータだけでなく、非構造化データの収集も可能です。
アナリストによる分析を支援
チーム内のワークフローを含むコラボレーション機能、グラフ出力/ピボットツール/分類(タグ)の追加・削除などの分析支援機能、レポート生成機能を提供しています。これにより、アナリストは大量のデータを解読し、迅速に攻撃の傾向や関係の特定、IOC*3の把握などが可能になります。
脅威インテリジェンスの登録/共有
自組織で分析した結果も脅威インテリジェンスの1つとして登録が可能です。またアナリストやマネージャーが読むために出力するレポートの他に、セキュリティ機器やネットワーク機器が取り込める形式でのレポート出力も可能です。
標準的なプロトコルをサポート
幅広いコミュニティとの共有を可能にするSTIX/TAXII(脅威情報共有プロトコル)をサポートしています。その他の多様な入出力形式にも対応しています。
オンプレミス/クラウドに対応
オンプレミス環境に設置し利用する方式、クラウド環境を利用する方式ともに対応しております。

分析画面例

検索したキーワードから、攻撃キャンペーンなどの情報や、攻撃者(アクター)の活動といった一連の流れを表示します。

分析画面例:検索結果をコンテキストで表示

分析画面例

異なる情報元の脅威情報を合わせて、攻撃者(アクター)や通信経路といった関係性を作成します。

分析画面例:関係性の表示

EclecticIQ Platformの特長

  • メーカーであるEclecticIQ社はSTIX/TAXII(脅威情報共有プロトコル)の策定組織の主要メンバーです。
  • STIX/TAXII(脅威情報共有プロトコル)など多様な連携手段を具備しています。
  • 多彩な分析機能、分析支援機能を持っています。
  • アナリストによる分析結果も脅威情報として登録し、外部から取り込んだ脅威情報とマージ可能です。
  • APIやSDKにて独自拡張が可能です。

導入の流れ (TIP導入支援サービス)

① 企画/要件定義フェーズ

  • 利用する組織の業務範囲の把握を行います。
  • 現行調査として、組織にて収集している情報を洗い出し、活用状況と課題整理を行います。
  • 要件定義として、組織にて収集する必要がある脅威情報および、収集した情報の活用ケースを整理します。
  • PoC(Proof of Concept)にて、想定される機能/非機能要件のフィジビリティスタディを支援します。

② 設計/実装フェーズ

  • EclecticIQ Platform単体、連携する製品を想定した機能/非機能設計を支援します。
  • 実装として、EclecticIQ Platform単体の構築/試験、連携する製品との試験を支援します。
  • 調達時は、当社からEclecticIQ Platformや、付随するソフトウェアやハードウェアを納品します。

③ 運用フェーズ

  • メーカーサポートおよび、メーカーによるトレーニングを提供します。
  • 今後、当社によるヘルプデスクおよび運用サポートを開発予定です。

NTTデータ先端技術の強み

当社は、顧客へTIP導入検討の支援、各セキュリティ団体におけるTIP実証実験の参加、インシデントレスポンスの経験などのノウハウが蓄積されています。
これらの経験を活用して、TIPを使った効果的な脅威情報活用および効率的な分析支援のための導入支援を行えることが強みとなります。さらに、CSIRTとしても活動している当社インシデントレスポンス担当の知見を用いた情報ソースの確保やハンドリングに関する業務設計支援が可能です。

  • *1:「CSIRT(Computer Security Incident Response Team)」とは、コンピュータに関するセキュリティ事故への対応チームを指し、定常時インシデント発生時ともにさまざまなタスクを持つ組織を指します。
  • *2:「ISAC」とは、Information Sharing and Analysis Centerの略で、「アイザック」と読みます。一般的には同じ業界内でサイバーセキュリティに関する情報を共有し、防御力を高めることを目指す組織です。
  • *3:「IOC」とは、Indicator of Compromiseの略で、「アイオーシー」と読みます。攻撃されたことを示す痕跡情報を指します。