Workflow

インシデント対応時における意思決定支援に関する研究

本研究では、インシデント対応時に担当者が行うべき判断/行動といった意思決定をサポートするシステムの提供を目指しています。インシデント発生時に被害を最小化するためには、迅速で正確な求められ、そのためには十分なスキルと経験を持つ技術者の存在が欠かせません。本研究では、その様な技術者が持つ知見を蓄積し、またその知見を新規の事案発生時に適切に利用するため、インデント対応のワークフロー知見蓄積の観点から構築し、併せて利用されるデータの正規化に取り組んでいます。また、新たに機械学習/深層学習のモデルを構築することで、新規のインシデント発生時に過去の知見データから類似の事案を推薦し、適切な意思決定を促すための研究/開発を行っています。

本研究では、CSIRT (Computer Security Incident Response Team) におけるインシデント対応の自動化を目指しています。まず始めに、東工大CERT (Computer Emergency Response Team) におけるインシデント対応の現状の解析と、対応において収集、管理が必要な情報の正規化を行いました。以下にインシデント対応における情報の正規化手順や情報の正規化と自動化の関係について記します。更に、インシデントの管理、対応の自動化基盤の設計、実装の取り組みについても紹介します。

近年の高度化された標的型メール攻撃やシステムの脆弱性を突いたサイバー攻撃等に対し、組織においてはリスクのより高いセキュリティインシデントが発生し、CSIRTによるインシデント対応に掛かるコストは増大の一途をたどっています。現在ではCSIRTを持つ大学は珍しくありませんが、一般企業におけるCSIRTと比較すると、大学においてはその体制や人員構成、規定やポリシ-に大きな差が存在します。

従って、インシデント対応の手順・構成要素においても大きな違いが見られます。大学におけるCSIRT、或いは実施するインシデント対応を成熟させるためには、他組織のノウハウを直接的に取り入れることは難しく、自組織における対応の高度化等を図る必要があります。上記の状況を鑑み、まず始めに東工大CERTにおけるインシデント対応フローを整理し、一般的な対応モデルとの比較を行いました。

セキュリティ事案対応フローにおける情報の正規化

 
対応フローを正規化して自動的・機械的に対応出来る体制を整えるためには、自組織におけるインシデント対応の特性を把握し、対応フローの基本構成要素を整理する必要があります。東工大CERTにおいて対応を行った事例を分析し、対応中の各イベント・行動に対して、何がトリガーに、或いは、判断基準になっていたか、また、その際に分析・収集すべき必要な情報はどの様なものであるかを対応フローの各フェーズにおいて詳しく整理しました。また、対応フローにおける行動がどの様な情報が入力として与えられた際に推移するか、即ち、トリガーと直結する必要情報に着目し、各必要情報を繋いでいくことで全体のフローを捉えることが出来ます。

図1において、インシデント対応の各フェーズに対して、分類された必要情報と、それぞれの分類のうちの詳細な必要情報を示します。ここで示した対応に必要な情報を依存関係に従って収集することにより、ある程度の対応フローは定まり、大まかな対応タスクの役割分担等も可能になる。これらの分析により、対応の各ステップ(判断、行動)において必要な情報と、生成される情報と次のステップへの関係を整理することで、インシデント対応の自動化基盤の設計において一つの指標となります。

Workflow1

図1: セキュリティ事案対応フローにおける情報の正規化

 

GitLabを利用した対応フローの実装とセキュリティ現場における運用

 
東工大CERTにおいてはGitLabを用いて、インシデント対応管理、また、今後の対応に継続的に活用可能な対応における知見の蓄積を目指した実装を行っています(図2)。インシデント対応における知見、知識、或いは、細分化された対応手順書は、攻撃手法や自組織の環境の変化に応じてインシデント対応後には都度評価されることで成熟され、インシデント対応の自動化に繋がります。この様な知見の蓄積や対応手順書の更新を継続的に行え、かつ、非技術系職員等も低コストで扱えるシステムの導入・ 運用が必要です。本研究で行った対応における情報の正規化を通して、GitLabの機能を用いてインシデント調査における情報や対応の記録、また、それらを活用可能な環境を整備し、インシデントの対応サイクルを実運用に試験的に組み込んでいます。

Workflow2

図2: GitLabを利用した対応フローの実装とセキュリティ環境における適用

 

インシデント対応のサポート

 
更に、インシデント対応の自動化のためには、過去の類似する対応事例や、インシデント、サイバーセキュリティ脅威等の分類等の組織内・外の情報による分析結果を、対応担当者が適切に活用可能である必要があります。分析対象となる情報はセキュリティアラートである、セキュリティ機器のログデータ等構造化されたデータも多く、上記のようなインシデント対応管理システムに蓄積される知見といったものは大部分が自然言語によるものであり、この様な情報の活用も必須となります。

従って、機械学習と自然言語処理技術を利用して、過去のインシデント報告書や、CERTメンバのコミュニケーションによるチャットやメール、対応時に蓄積されるデータに対して、文書の分類やキーワード抽出の実験を行い、分析結果の次なる対応への活用、GitLabによる対応管理システムへの取り込み、フィードバック方法について研究を進めています(図3)。

Workflow3
図3: インシデント対応のサポート

 

関連業績リスト:

森 健人, 石井 将大, 松浦 知史, 金 勇, 北口 善明, 友石 正彦
セキュリティ事案における知見の蓄積・活用を可能とするインシデント対応フローの提案と実装
情報処理学会 研究報告インターネットと運用技術(IOT), Vol. 2019-IOT-46, Jun, 2019.

石井 将大, 森 健人, 松浦 知史, 金 勇, 北口 善明, 友石 正彦
東工大CERTにおけるインシデント対応の分析とその自動化に関する考察
情報処理学会 研究報告インターネットと運用技術(IOT), Vol. 2018-IOT-43, No. 2, pp. 1-8, Sep. 2018.