実践的サイバー演習をお手頃価格で提供 レジリエンス強化に役立つNICTの取り組み：ITmedia Security Week 2023秋 イベントレポート（2/2 ページ）

[斎藤公二，ITmedia]

リアルタイム大規模観測、分析システムNICTERによるダークネット観測

　NICTが取り組むサイバーセキュリティ技術の研究対象は、無差別型攻撃対策から標的型攻撃対策、パッシブ型（受動的な観測）からアクティブ型（攻撃者への働きかけ）の4象限に分けられる。

NICTが取り組んでいるサイバーセキュリティ技術の研究マップ（出典：盛合氏の講演資料）

　標的型攻撃対策でアクティブ型の取り組みとしては、サイバー攻撃誘引基盤「STARDUST」がある。また、標的型攻撃対策でパッシブ型の取り組みとしては、サイバー攻撃統合分析プラットフォーム「NIRVANA改」、脆弱性管理管理プラットフォーム「NIRNAVA改弐」がある。

　無差別型攻撃対策でアクティブ型の取り組みとしてはWeb媒介型攻撃対策フレームワーク「WarpDrive」がある。また、無差別型攻撃対策でパッシブ型の取り組みとしてはインシデント分析センター「NICTER」、対サイバー攻撃アラートシステム「DAEDALUS」がある。

　このうち、より詳細に解説したのがNICTERとDAEDALUSだ。

　「どのネットワークやコンピュータにも割り当てられていない未使用IPアドレス空間はダークネットと呼ばれています。NICTERでは国内外の約30万の未使用IPアドレスにセンサーを設置して通信を観測しています。感染したIoT機器などが次の標的を狙ってインターネットで感染活動を実行する様子を捉えられるので、無差別型のサイバー攻撃の大局的な傾向把握が可能です」（盛合氏）

　NICTERでのダークネット観測を過去10年間で比較すると、2022年の年間総観測パケット数は約5226億。1アドレス当たり17秒に1回は攻撃関連の通信を観測したことになる。

　盛合氏は「2022年の宛先ポート別の観測では、TCP 23番ポート（ルーター、WebカメラのTelnet）、TCP 22番（サーバ、ルーターのSSH）、5555/TCP（Android Debug Bridge）の割合が増加しました。また2022年はMirai感染ホスト数が増え、特に国内では韓国製DVR/NVR機器の感染が増えました」と話す。

　一方、DAEDALUSは、組織内のウイルス感染端末からの攻撃を検知して、約760の地方自治体にアラートを無償提供している。

　「現在は、組織外からの攻撃をネットワーク境界で検出する従来の境界防御技術だけでは攻撃を防ぐことが難しくなっています。NICTERで組織内からの攻撃をネットワーク広域で検出しDAEDALUSのアラートを提供することで攻撃の検出を補います。アラートは地方公共団体情報システム機構（J-LIS）を窓口として自治体より申し込みできます。アラート発生時の対応マニュアルもNICTとJ-LISで整備しています」（盛合氏）

2017年から延べ1万7000人超が受講　実践的サイバー演習CYDERとは？

　盛合氏は次に、サイバーセキュリティに関する演習CYDERについて解説した。CYDERはCyber Defense Exercise with Recurrence（実践的サイバー防御演習）の略で、サイバー攻撃を受けた際の一連のインシデント対応をPCを操作しながらロールプレイ形式で体験できる。

　演習は事前オンライン学習やオリエンテーション、実習、グループワークで構成され、事前学習から受講後のサポートまで、インシデント対応の一連の流れを把握でき、自組織に持ち帰って実践できることがポイントとなる。

　「サイバーセキュリティ演習に対しては難しいと尻込みして受講されていない方も多くいます。実際には和やかな雰囲気もあり、安心して受講できる演習です。最大4人でチームを組み、お互いに話をしながら役割分担を決めて1〜2日で臨みます」（盛合氏）

CYDERの流れ（出典：盛合氏の講演資料）

　演習では、課題を通じて検知から事後対応までの一連の流れを学ぶ。シナリオの例としては「ある日、さいだ市（架空の自治体）の職員Aさんが、取引業者から納品されたUSBメモリを自分の業務用PCに挿入し、USBメモリに入っていたファイルをクリックした」がある。この場合、検知・連絡受付から、トリアージ（優先順位付け）、インシデントレスポンス（対応）、報告・公表、事後対応などを実施する。

　検知・連絡受付では、ネットワーク監視会社からの連絡「さいだ市職員の業務用PCから不正な通信を検出」の事実確認を実施し、トリアージでは、不正な通信の内容を確認、分析し、発信源となったPCと利用者を特定する。インシデント対応では、影響範囲を特定し、被害拡大を防ぐため必要であれば専門ベンダーや警察などに協力を仰ぎ、一連の対応を時系列にまとめ、報告書を作成、事後対応として、得られた経験や気付きを共有し、現状へのフィードバックを検討する。

　「毎年、全都道府県で100回程度の集合演習を中心に約3000人が受講します。2017年以降、のべ1万7000人超が受講しました。国の機関や指定法人、独立行政法人、地方公共団体の職員は無料で、民間企業は7万7000円から受講できます」（盛合氏）

　盛合氏は、NICTがこれらの取り組みを通して日本全体のサイバーセキュリティ対応能力強化に貢献していくと強調した。