国を選択する グローバル - 日本語
お問い合わせ

サイバーセキュリティの国際会議SecTor 2024に当社社員の論文が採択

~オープンソースの組み合わせで高度なインシデント調査を実現~

トピックス

2024年10月3日

株式会社NTTデータグループ

株式会社NTTデータグループ(以下、NTTデータグループ)の社員がセキュリティコミュニティー「大和セキュリティ」注1のメンバーと共同執筆した論文が世界有数のサイバーセキュリティの国際会議SecTor(Security Education Conference Toronto)2024において、査読通過・採択され、イベント登壇が決定しました。SecTorは、最先端のセキュリティ研究成果や新しい攻撃手法・防衛策など技術的に高度かつ実践的な知識が共有されるサイバーセキュリティ分野で世界的に評価されている国際会議の一つです。オープンソースの組み合わせで高度なインシデント調査を実現できるDFIR手法注2について、新規性・実用性・公益性が認められ、論文が採択されました。

論文概要

DFIR(デジタルフォレンジックおよびインシデントレスポンス)実務者はインシデント発生時に多岐にわたる証跡を調査する必要がありますが、EDR注3やSIEM注4などのセキュリティ検知や管理ソリューションが未導入または運用が不十分な環境においては、迅速かつ包括的に調査する作業は極めて困難です。

本論文では、上記課題への解決策として、日本のセキュリティコミュニティー「大和セキュリティ」が開発しているオープンソースのセキュリティ脅威検知ツールHayabusa注5およびTakajo注6と、世界のセキュリティプロフェッショナルのナレッジベースであるSigmaコミュニティー注7のナレッジを活用したDFIR手法を提案しました。これらのオープンソースツールを組み合わせて活用することで、シンプルなコマンドラインで、セキュリティコミュニティーのナレッジを迅速かつ効率的に取り入れることができ、インシデント調査の精度および効率が大幅に向上することを示しました。

また、本論文に記載のDFIR手法により、高価なセキュリティソリューション導入が難しい企業やDFIR調査初心者でも無償で高度なインシデント調査を実施できるようにし、DFIR人材の拡大に寄与しました。なお、これらのオープンソースツールは、ナショナルCSIRT注8によるインシデント調査をはじめ、セキュリティ研修など幅広い場面で活用されています。

イベント講演情報

講演タイトル:
Performing DFIR and Threat Hunting with Yamato Security OSS Tools and Community-Driven Knowledge
講演者:
高橋福助(株式会社NTTデータグループ)、西川彰(株式会社カミナシ)
講演日時:
10月24日
URL:
https://www.blackhat.com/sector/2024/briefings/schedule/#performing-dfir-and-threat-hunting-with-yamato-security-oss-tools-and-community-driven-knowledge-41347

NTTDATA-CERTについて

NTTDATA-CERTは、NTTデータグループのCSIRT組織(コンピューターセキュリティインシデント対応チーム)です。平時より、国内外の組織と連携し、セキュリティインシデントの未然防止およびその対応に当たっています。
NTTDATA-CERTでは、社会のセキュリティ向上に寄与する取り組みを推進しており、その一例として、日本のセキュリティコミュニティー「大和セキュリティ」の有志メンバーと共に、本講演で解説されるHayabusa/Takajoをはじめとしたオープンソースツールの開発や普及にも携わっています。

今後について

NTTデータグループは、オープンソースツール普及の推進、およびセキュリティ業界全体の技術向上と人財育成に、継続的に貢献していきます。また、デジタルフォレンジック技術に関わるさまざまなコミュニティーと連携しながら、オープンソースツールの機能強化および活用を進めることで、より多くの組織が迅速かつ効果的なインシデント対応を実現できるよう取り組んでいきます。

注釈

  • 注1 https://github.com/Yamato-Security
  • 注2 Digital Forensics and Incident Responseの略。サイバー攻撃やセキュリティインシデントに対し、デジタル証拠の収集・解析を行うフォレンジック調査と、インシデントの対応および復旧を行うプロセスの総称
  • 注3 Endpoint Detection and Responseの略。デジタルデバイスにおける脅威の検知と、発生したインシデントへの対応から復旧までを支援するセキュリティソリューション
  • 注4 Security Information and Event Managementの略。セキュリティーイベントやログデータをリアルタイムで収集・分析し、脅威の検出やセキュリティインシデントの管理を行うシステム
  • 注5 https://github.com/Yamato-Security/hayabusa
  • 注6 https://github.com/Yamato-Security/takajo
  • 注7 https://sigmahq.io/
  • 注8 ナショナルCSIRTは、主に政府機関、重要インフラ事業者、企業に対してサイバーインシデント対応支援を提供する、国や地域のサイバーセキュリティ組織

本件に関するお問い合わせ先

株式会社NTTデータグループ
技術革新統括本部
Cloud & Infrastructure技術部
情報セキュリティ推進室
NTTDATA-CERT担当
高橋、大山
E-mail:nttdata-cert@kits.nttdata.co.jp