自然科学研究機構

危険な兆候をピンポイントで捕捉して警告、
通知をインシデント対応の起点に活用し
CSIRTの運用をスムーズに

概要

お客さまの課題

エンドポイントまで含めた一元管理が難しい独特の環境の中、被害につながるインシデントをCSIRT側で捕まえる仕組みを模索していた

解決策と効果

Deep Discovery™ Inspectorが危険な兆候をピンポイントで分かりやすく警告してくれるため、CSIRTが速やかに初動対応できる体制が整った

"『影響範囲はここまでです』と断言する際の根拠が、今まで以上に厳しく求められています。DDIではその判断材料が得られます"

自然科学研究機構
岡崎情報ネットワーク管理室
大野 人侍 氏

"DDIからのアラートをトリガーにしてCSIRTとしてのインシデント対応が回っています"

自然科学研究機構
岡崎情報ネットワーク管理室
内藤 茂樹 氏

"検知率が高いだけでなく誤検知が少ないこと、ばらばらとアラートを投げるのではなく集約された警告が分かりやすく出ることがポイントでした"

自然科学研究機構
岡崎情報ネットワーク管理室
澤 昌孝 氏

導入の背景

昨今、教育機関・研究機関もサイバー攻撃と無縁ではなく、核融合科学研究所、国立天文台など5つの研究所から構成され、内外の大学と共同研究を進める大学共同利用機関法人 自然科学研究機構(NINS)も例外ではない。NINSを構成する5研究所のうち愛知県岡崎市にある基礎生物学研究所、生理学研究所、分子科学研究所の岡崎3機関でも、文部科学省が情報セキュリティ対策に本腰を入れ始めたことも相まって、これまで運用してきたインシデント対応体制を整え、あらためて「CSIRT」として発足させた。

お客さまの課題

岡崎3機関には一般民間企業とは異なる事情がある。共同研究機関という性質上、国内外の研究者がオープンにアクセスし、活用できる状態が望ましい。また、研究者はそれぞれテーマを持って独自に研究に取り組んでおり、基幹ネットワークやサーバ、対外接続は岡崎情報ネットワーク管理室が管理していても、PCや研究用サーバのポリシーや運用管理は各研究所に委ねられてきた。

その中で岡崎情報ネットワーク管理室は、自由度とセキュリティのバランスを取りながら対策に取り組んできた。もともと同室は、ネットワーク構築・運用に当たるNetwork Operation Center(NOC)として発足した。その後、脅威の増加を背景にファイアウォールやIDPといったネットワークセキュリティ機器の導入・運用も担当するようになり、健全なネットワーク運用の一環として対策を推進。定義ファイルに基づく検知をすり抜ける脅威の登場を踏まえてサンドボックス製品も導入し、セキュリティレベルの向上に努めてきた。

だが「実際に運用してみると、緊急対応の必要があるのはサンドボックスの仮想環境上で動かして検知したものよりも、攻撃者が感染PCを操る外部のC&Cサーバと通信している場合だと分かってきました。ならば、外部への不正な通信を確実に検知できる優れたレピュテーション情報があれば、もっと低いコストで運用できるのではないかと考えました」(自然科学研究機構 岡崎情報ネットワーク管理室 大野人侍氏)

選定理由

ちょうどそのころ岡崎3機関は、ネットワークインフラの更改時期を迎えていた。そこで機器の入れ替えに合わせ、ネットワーク上の動きを監視できる製品の検討を開始した。当初の枠組みでは予算オーバーのためいったんは先送りしたものの、対策の必要性を踏まえて別途予算化。「エンドポイントの運用を各研究室に任せている中で、被害につながるインシデントを中央で捕まえたいと考えました」(大野氏)という。

入札の結果、Deep Discovery™ Inspector(以下、DDI)に決定したが、事前評価の段階で、岡崎3機関は複数の製品を比較したと言う。「DDIは検知率が高いだけでなく誤検知が少ないこと、ばらばらとアラートを投げるのではなく集約された警告が分かりやすく出ることを評価していました」(同澤 昌孝氏)。学会や共同研究のため海外との通信も珍しくなくアノマリーだらけの岡崎3機関にとっては、機械学習を活用して異常を検知する監視製品はそぐわなかった。「誤検知があると、われわれの仕事が本当に大変になります。『危険なものは危険』とピンポイントで警告してくれ、速やかにセキュリティの仕事を終わらせてくれるものがいいと考えました」(同内藤 茂樹氏)。

ソリューション

岡崎3機関ではDDIの稼動開始とほぼ同時期となる2018年3月にCSIRTを発足した。新規インフラでは仮想マシン上にDDIを導入し、ルータのミラーリングポートを介してDMZを介してFirewallに入ってくるデータをすべて解析している。事前に評価検証を行っていたことに加え、あらかじめ用意されたテンプレートを活用したため「それほど苦もなく導入できました」(澤氏)

自然科学研究機構(NINS)岡崎3機関のネットワーク構成イメージ

導入効果

月に1回程度はDDIがアラートを発し、それに応じてCSIRTと各研究所の担当者が対応に回っている。「アラートが集約され、分かりやすいWebインターフェイスで表示されるため、限られた人数で対応しなければならないわれわれには助かっています」(大野氏)。機構本部への報告に役立つだけでなく、インシデントの引き金を引いた端末を特定して深く調査する際に根拠を示し、利用者の協力を得る材料としても活用している。

アラートメールの本文中に「いつ、どの端末で何が起き、どのくらい危険か」といった必要な情報が記載されており、いちいちWebや他の情報を参照する必要がないことも重宝している。「DDIからのアラートをトリガーにしてCSIRTとしてのインシデント対応が回っています」(内藤氏)。最近ではCSIRTが促す前に、DDIのアラートメールを見て各研究所が自主的に一次対応に取り組むことも増えてきた。

さらに「1つ1つの動きはそれほど危険度が高くなくても、イベントアラートを積み重ねていくと総体として何が起こっているのか、どの端末が怪しいのかが分かってきます。DDIのWebコンソールでは『影響範囲はここまでです』と断言する際の根拠、判断材料も得られます」と大野氏は言う。インシデントの初動対応だけでなく、影響範囲の特定や再発防止、収束宣言に至るまで、CSIRTの仕事を幅広く支援している。

今後の展望

岡崎情報ネットワーク管理室は今後、さまざまなログを集約・解析する仕組み作りに取り組む方針だ。また、そうしたアラートをトリガーにして機器の設定を動的に変更し、対処を自動化できないかも検討している。「DDIも活用しながらインシデント対応を自動化したいと考えています。今もできる限り迅速な対応を試みていますが、30分よりも20分、20分よりも10分と、対応時間を短縮していきたいですね」(内藤氏)

長年にわたって「自前主義」で運用してきたが、今後は、サポートを活用してトレンドマイクロの知見も参考にしてCSIRTのワークフローを改善していきたいという。

  • 記載内容は2018年5月現在のものです。内容は予告なく変更される場合があります。