2017 Fiscal Year Research-status Report
Automated vulnerability monitoring and management techniques for networked computers
| Project/Area Number |
17K12699
|
|---|
| Research Institution | National Institute of Information and Communications Technology |
|---|
Principal Investigator |
高橋 健志 国立研究開発法人情報通信研究機構, サイバーセキュリティ研究所サイバーセキュリティ研究室, 研究マネージャー (50600160)
|
|---|
| Project Period (FY) |
2017-04-01 – 2020-03-31
|
| Keywords | サイバーセキュリティ / 脆弱性管理 / 資産管理 / セキュリティ自動化 / CVE / CPE |
|---|
| Outline of Annual Research Achievements |
初年度である平成29年度は、必要なツール及び環境を構築し、知識ベースから必要な脆弱性情報を自動的に引き当てる技術の構築を目的として活動した。具体的には、管理ネットワーク内にあるIT 資産情報を収集・蓄積するツールを構築し、これを用いてIT 資産情報の識別子を自動的に割り当てる技術を構築した。また、本識別子を利用して関連する脆弱性情報を知識ベースから引き当て、警告を出す技術を構築した。
特に、IT資産情報の識別子を自動的に割り当てる技術については、引当精度向上のために、official辞書, operational辞書, vendor辞書, private辞書の4種類の辞書を導入た。official辞書は正規に登録されたCPE情報を保持している。operational辞書は我々が作成したものであり、実際の脆弱性データベースなどに利用されているCPE識別子を収集して構成した辞書である。vendor辞書はoperational辞書の中に登場する主要vendor名について、表現の揺らぎを削除した対応表を作成したものであり、private辞書は手動でCPE識別子の対応を記載したものである。official辞書, operational辞書, vendor辞書を利用することにより、CPE情報の中のベンダー情報記述部位についての表現の揺らぎを最小化し、それにより最終的な引当率の向上を実現した。また、どうしても正しく引き当てられられないものについてはprivate dictionaryを用意することにより、実オペレーションで提案方式を利用する際に確実に正確な引き当てをできるようにする手法を用意した。
また、本研究の基盤となる知識ベースについて、詳細に定義・実装・評価し、その結果を論文誌としてまとめて発行するに至った。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
本年度に実施する計画内容を、計画通り実施できているため、「おおむね順調に進展している」と評価した。
研究計画では、「IT資産情報の収集・管理」、「識別子の割り当て」、「脆弱性情報の引当・警告の生成」を実施することとしていたが、そのそれぞれについて、下記の通り進捗している。「IT資産情報の収集・管理」については、agentソフトをインストールすることで、windows7, 8, 10の端末から情報を収集できており、収集した情報はasset managementサーバにて一元管理できる形になっている。また、agentソフトがインストールされていない端末についても、わかる情報を収集して同サーバ上に記録している。「識別子の割り当て」については前項目にて報告した通り、official辞書, operational辞書, vendor辞書, private dictionaryの4種類の辞書を導入することにより、実現している。「脆弱性情報の引当・警告の生成」については、識別子の割り当てが正確にできているケースでは、特に問題なく脆弱性情報を引き当てることができ、警告を電子メールにて送信できるように実装している。
論文成果も創出しており、本年度の活動において大きな問題点は見受けられず、進捗はおおむね順調であると考えている。
|
| Strategy for Future Research Activity |
上述の通り、当初の研究計画に従い、本課題の研究活動は順調に進んでいる。そのため、来年度もおおむね、当初の研究計画に従い実施していく所存である。来年度は、「脆弱性情報の評価」、「初動対応の自動化」、「脆弱性情報の拡充」の3つの活動を実施する計画を当初作成していた。しかしながら、今年度の検討を通じ、「脆弱性情報の拡充」については、今回の目的を達成していく上で重要性は低いことが分かっているため、検討の範囲から除外する予定である。実際、当初考えていたMicrosoft社のフリーのデータベースも変化してきており、現在に至ってはそのデータベースの活用はあまり意味をなさない。そのため、来年度は「脆弱性情報の評価」、「初動対応の自動化」に絞って注力していく所存である。
「脆弱性情報の評価」については、脆弱性の深刻度を自動で評価できるようにする。その際には、脆弱性情報の説明文、参考情報URLなどを用いて気化器学習を実施することにより、自動的に評価できる手法を検討していく所存である。「初動対応の自動化」については、Software Defined Network (SDN)を用いて、脆弱な端末の存在が明らかになった際にはその端末を切り分けたネットワークに接続する手法を検討してく所存である。
上述の通り一部計画変更があるものの、それ以外の点については当初の計画に沿って実施していく所存である。
|
| Causes of Carryover |
平成29年度にプロトタイプ実装および実験用にPC関連機器を購入する予定でいたが、本年度はパフォーマンスを追求するよりは、アルゴリズムの検討に注力した。その結果、当初計画していた研究成果の創出に成功したが、PC関連機器の購入は先送りにしてきた。
平成29年度の検討の範囲ではCPUやメモリを大規模に使うものはなく、また用意するバーチャルマシンの数も少なく済んだため、PC関連機器の購入が研究計画に与える影響はなかった。しかしながら、平成30年度の研究ではSDNを用いた実験を計画しているため、現在の機器での実験は非現実的である。そのため、PC関連機器購入の先送りは難しく、平成30年度にはPC関連機器を購入し、実験を実施できる環境を構築する必要があり、年度のなるべく早い段階で必要な機器の購入を実施していく所存である。
|
