脅威インテリジェンスプラットフォーム(TIP)「EclecticIQ Platform」
CSIRT※1のようなセキュリティ組織では、オープンソースの脅威情報、セキュリティベンダーが集めた脅威情報、各セキュリティ機器が検知した脅威情報、組織間で共有される脅威情報や、各製品における脆弱性情報など、取り扱う情報の種類および情報量は飛躍的に増加している一方で、このような外部からの脅威情報と、自組織での調査/検知した脅威情報を統合した分析が求められています。
このような対応のために、多種、大量の脅威情報の収集、分析、共有を行う「脅威インテリジェンスプラットフォーム(TIP)」の導入・利用が大規模な組織を中心に進められています。
TIPとは
「脅威インテリジェンスプラットフォーム(TIP)」は、SOCやCSIRT、またはそのような組織を束ねるISAC※2などが、サイバー脅威情報を収集、分析、共有を行うための基盤となるものです。
導入効果
- 連携組織への脅威情報収集/脅威情報配信共有の効率化や自動化が可能になります。
- CSIRTなどの組織が行う注意喚起の効率化を実現します。
- 分析を行うアナリストは、攻撃の特性を踏まえた最適な判断が可能になります。
- 情報元や形式が異なる脅威情報を集約して分析が可能になります。
- 脅威情報の関連付けや分析機能により、複数の情報を横串で見るといった分析が可能になります。
TIP利用イメージ
CSIRT運用におけるTIPの位置づけ
CSIRT運用時のタスク例
EclecticIQ Platformのおもな機能
- 脅威インテリジェンスの収集
- さまざまな形式の脅威インテリジェンス情報の取り込みが可能です。
構造化されたデータだけでなく、非構造化データの収集も可能です。 - アナリストによる分析を支援
- チーム内のワークフローを含むコラボレーション機能、グラフ出力/ピボットツール/分類(タグ)の追加・削除などの分析支援機能、レポート生成機能を提供しています。これにより、アナリストは大量のデータを解読し、迅速に攻撃の傾向や関係の特定、IoC※3の把握などが可能になります。
- 脅威インテリジェンスの登録/共有
- 自組織で分析した結果も脅威インテリジェンスの1つとして登録が可能です。またアナリストやマネージャーが読むために出力するレポートの他に、セキュリティ機器やネットワーク機器が取り込める形式でのレポート出力も可能です。
- 標準的なプロトコルをサポート
- 幅広いコミュニティとの共有を可能にするSTIX/TAXII(脅威情報共有プロトコル)をサポートしています。その他の多様な入出力形式にも対応しています。
- オンプレミス/クラウドに対応
- オンプレミス環境に設置し利用する方式、クラウド環境を利用する方式ともに対応しております。
分析画面例
検索したキーワードから、攻撃キャンペーンなどの情報や、攻撃者(アクター)の活動といった一連の流れを表示します。異なる情報元の脅威情報を合わせて、攻撃者(アクター)や通信経路といった関連性を作成します。
攻撃アクターの関連性
攻撃キャンペーンとの関連性
EclecticIQ Platformの特長
- STIX/TAXII(脅威情報共有プロトコル)など多様な連携手段を具備しています
※EclecticIQ社はSTIX/TAXII(脅威情報共有プロトコル)の策定組織の主要メンバーです - 多彩な分析機能、分析支援機能を持っています
- アナリストによる分析結果も脅威情報として登録し、外部から取り込んだ脅威情報とマージ可能です
- APIやSDKにて独自拡張が可能です
導入の流れ (TIP導入支援サービス)
① 企画/要件定義フェーズ
実施内容:
- 利用する組織の業務範囲の把握を行います
- 現行調査として、組織にて収集している情報を洗い出し、活用状況と課題整理を行います
- 要件定義として、組織にて収集する必要がある脅威情報および、収集した情報の活用ケースを整理します
- PoC(Proof of Concept)にて、想定される機能/非機能要件のフィジビリティスタディを支援します
② 設計/実装フェーズ
実施内容:
- EclecticIQ Platform単体、連携する製品を想定した機能/非機能設計を支援します
- 実装として、EclecticIQ Platform単体の構築/試験、連携する製品との試験を支援します
- 調達時は、当社からEclecticIQ Platformのライセンスを提供します
③ 運用フェーズ
実施内容:
- メーカーサポートおよび、メーカーによるトレーニングを提供します
NTTデータ先端技術の強み
当社は、顧客へTIP導入検討の支援、各セキュリティ団体におけるTIP実証実験の参加、インシデントレスポンスの経験などのノウハウが蓄積されています。
これらの経験を活用して、TIPを使った効果的な脅威情報活用および効率的な分析支援のための導入支援を行えることが強みとなります。さらに、CSIRTとしても活動している当社の知見を用いた、情報ソースの確保やハンドリングに関する業務設計支援が可能です。
EclecticIQ社 公式サイト
資料ダウンロード
- ※1「CSIRT(Computer Security Incident Response Team)」とは、コンピュータに関するセキュリティ事故への対応チームを指し、定常時インシデント発生時ともにさまざまなタスクを持つ組織を指します。
- ※2「ISAC」とは、Information Sharing and Analysis Centerの略で、「アイザック」と読みます。一般的には同じ業界内でサイバーセキュリティに関する情報を共有し、防御力を高めることを目指す組織です。
- ※3「IoC」とは、Indicator of Compromiseの略で、「アイオーシー」と読みます。攻撃されたことを示す痕跡情報を指します。