「おとりシステム」を使った動的活動観測システムを11月より運用開始

東京電機大学・TDU-CSIRTと情報セキュリティ研究室
「おとりシステム」を使った動的活動観測システムを11月より運用開始

学校法人東京電機大学

東京電機大学（学長 射場本忠彦）東京電機大学シーサート（略称：TDU-CSIRT（以下、略称にて表記））と未来科学部情報メディア学科 情報セキュリティ研究室は、研究と実学が連携したセキュリティ人材の育成に向け、組織の情報ネットワークシステムを模擬する「おとりシステム」を使った動的活動観測システムの運用を11月1日より開始します。

■実環境に「おとりシステム」を組み込み、運用中の諸問題と、その対処方法を実体験

今回の取り組みは“大学のネットワーク内”という実環境に「おとりシステム」を組み込み、運用する中で起きた諸問題、およびその対処方法を実体験する社会実装研究です。具体的には、TDU-CSIRTと同研究室が協力しておとりシステムを本学のネットワークの一部として組み込み、ワームホール機能と併用して本学のネットワークと一体化させることで、攻撃者が「本学のネットワークか」「おとりシステムか」を見分けることが困難であることを生かしたセキュリティ対策を推進するとともに、この対処方法の実体験を本学のセキュリティ対策への活用につなげます。

■「おとりシステム」にはNICTが開発した「STARDUST」（スターダスト）を使用

今回の取り組みで使用する「おとりシステム」は、国立研究開発法人情報通信研究機構（NICT）が開発したサイバー攻撃誘引基盤「STARDUST」（スターダスト）です。STARDUSTは、政府や企業等の組織を精巧に模擬したネットワークであるおとりシステム（並行ネットワーク）を構築することが可能。おとりシステム上では、各種サーバや数十台～数百台のPCが実稼働し、あたかも実在の組織の情報ネットワークシステムのように振る舞います。おとりシステム上のPCでマルウェア感染を発生させることにより、感染後は、攻撃活動を攻撃者に察知できないよう長期観測し、これまで収集が困難であった攻撃者の組織侵入後の挙動を把握できます。

■NICTと日立製作所との連携・協力体制による実践的な学習を通じてセキュリティ人材を育成

実践的な標的型攻撃の研究開発を行うには、個人環境では難しく、組織規模の大規模なネットワーク環境が必要になります。そこで本学では、STARDUSTを活用することで最適な研究環境が整い、セキュリティ人材の育成にも生かせると考えます。具体的には、学生はSTARDUSTを活用して、TDU-CSIRTが検知・捕獲したマルウェア検体の動的観測を長期間にわたって続け、感染後の攻撃者の挙動を含む標的型攻撃に関する情報収集を行い、観測レポートを定期的にNICTへ提供することでマルウェアの活動と運用監視について学びます。こうして、実際に標的型攻撃の対策研究も行うことで、実践的な学習につながります。
また、株式会社日立製作所のインシデントレスポンスチーム（HIRT）にリモート形式のOJTで協力いただき、学生がいつでも相談ができる体制を整えます。これにより、学生は実社会で活用できる技術を学ぶことができ、セキュリティ人材としての素地を養うことができます。一方、同社にとってもワームホール機能を併用したおとりシステムの活用を通して、リモートで行うインシデント対応やサポートの手法改善を検証していただく機会になると考えます。

今後は、他の企業や学外のCSIRT等とも協力しながら、本学の建学の精神「実学尊重」のもと、学生が技術だけに偏重することなく、在学中からシステム運用という意識を高め、社会で即戦力として活躍できるセキュリティ人材を育成していきます。

＜参考資料＞

●動的活動観測とは
「動的活動観測」では、組織の情報ネットワークシステムそのものを模擬するおとりシステムをインターネットに接続し運用します。このおとりシステムにおいて、観測対象となるマルウェア感染を発生させることにより、マルウェアやおとりシステムに侵入した攻撃者の活動を観測ならびに分析するものです。

●これまでの研究経緯について
本研究は、本学未来科学部情報メディア学科 情報セキュリティ研究室の寺田真敏教授が2013年に開始。寺田教授が当時在籍していた株式会社日立製作所のインシデントレスポンスチーム（HIRT）を中心に動的活動観測「フェーズ1」を立ち上げました。フェーズ1の目的は、2011年頃からサイバー攻撃活動として活発化し始めた標的型攻撃対策のため独自に「おとりシステム」を構築し、おとりシステム内の端末をマルウェア感染させることで、当時まだ分からなかった攻撃者の挙動や実態を把握し、研究することでした。
2019年からは「フェーズ2」に移行。日々進化する標的型攻撃の対策のためには、ひとつの組織が開発や運用をするのではなく、防護側も協力していく必要があると考えました。そのために、本学のネットワークに「おとりシステム」を組み込んだ動的活動観測を通して、学内ではTDU-CSIRTと情報セキュリティ研究室との連携、学外ではNICTが開発したおとりシステムSTARDUSTの活用や国内CSIRTチームとの連携といった防護側の協力体制を具体化していくこととなりました。

●東京電機大学シーサート（TDU-CSIRT）
シーサート（CSIRT: Computer Security Incident Response Team）とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。東京電機大学シーサート（TDU-CSIRT）は、日本コンピュータセキュリティインシデント対応チーム協議会に、2016年6月、大学組織として初めて加盟し、本学と本学のブランド価値を守るために必要なインシデント対応、およびインシデント発生の予防を行う組織として活動しています。

＜ご参考＞
＊国立研究開発法人 情報通信研究機構（NICT）　公式ホームページ
https://www.nict.go.jp/
＊日立インシデントレスポンスチーム（HIRT）　公式ホームページ
https://www.hitachi.co.jp/hirt/

---