2018 Fiscal Year Research-status Report
Automated vulnerability monitoring and management techniques for networked computers
| Project/Area Number |
17K12699
|
|---|
| Research Institution | National Institute of Information and Communications Technology |
|---|
Principal Investigator |
高橋 健志 国立研究開発法人情報通信研究機構, サイバーセキュリティ研究所サイバーセキュリティ研究室, 研究マネージャー (50600160)
|
|---|
| Project Period (FY) |
2017-04-01 – 2020-03-31
|
| Keywords | 脆弱性管理 / セキュリティオートメーション / アクチュエーション / サイバーセキュリティ |
|---|
| Outline of Annual Research Achievements |
本研究課題では組織内の脆弱性管理オペレーションの自動化に関する研究開発を実施している。昨年度は、イントラネット上に存在するコンピュータのソフトウェア情報を収集し、それらのソフトウェアに関連する脆弱性がNVD脆弱性データベースに報告されていないかどうかを確認し、報告されていた際にはその情報をシステム管理者に自動的に発信する技術を構築してきた。
本年度は、脆弱性が発見された際の対策の自動化を実現する技術についての検討を中心に実施してきた。具体的には、脆弱性が発見された際には、その脆弱性の深刻度を判断し、深刻な場合には事前に登録された通信先への通信のみを許可するよう、イントラネット上のスイッチに対して設定変更を実施する技術を構築した。ここでスイッチの設定変更を実施する際にはAnsible playbookを事前に準備しておくことで自動変更を実現した。また、既にマルウェアに感染している際には、その端末との通信を最寄りのスイッチにて遮断するよう、スイッチの設定を自動変更する技術を構築した。また、本技術のプロトタイプを構築し、実際に提案アルゴリズムが動作することを検証した。一方で、前年度に対象としていた脆弱性情報の対象範囲を拡大し、NVD脆弱性データベースのみならず、Exploit DBの情報も確認可能になるように機能拡充を実現した。さらには、本提案方式の概要と、本プロトタイプ構築を通じて発見した脆弱性対策の自動化を進めていくための課題について、CARIS workshopにて発表を実施した。
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
本年度は、(1)脆弱性情報の評価に基づき、(2)初動対応の自動化を実施し、かつその際に参照する(3)脆弱性情報の拡充を実施することを当初の研究計画に記載している。これら3項目については、上述の研究実績の概要の通り、すべて完遂している。すなわち、NVDおよびExploit DBという2つの主要な脆弱性データベースを参照し、自組織のソフトウェア資産に関連する脆弱性情報が報告されていないかどうかを確認し、確認された際にはその脆弱性情報の深刻度に応じて、最寄りのスイッチのフィルタリングルールを自動的に変更する技術、及びそのプロトタイプを構築した。上記の通り、今年度は元々の研究計画に沿って研究を完遂しており、来年度に予定している研究開発の内容に遅延なく着手することができる状況にある。
同時に、本プロトタイプ構築を通じて直面した課題について分析を実施し、今後の本格的な脆弱性対策自動化技術の構築に向けて越えなければならない技術的課題について、論文発表を実施することができた(課題のとりまとめは元来3年目に実施することを想定)。また、脆弱性の深刻度を機械学習を用いて自動的に評価する技術、並びに既存の脆弱性評価技術CVSSの問題点の分析なども実施することができ、当初の研究計画以上の成果を創出してきている。
|
| Strategy for Future Research Activity |
次年度は、本アルゴリズム、およびプロトタイプの作りこみを実施し、ソフトウェアIDの引当精度のさらなる向上およびスケーラビリティの担保を実現する。また、本ツールを実際のオペレーションの中でテスト運用することにより、より利用価値の高い技術へと仕上げていく。そして、結果として構築された改修版プロトタイプを用いて本技術の有効性を評価する。
|
| Causes of Carryover |
科研費を利用して自ら情報収集のために出張を計画していたが、現時点では他の類似活動の最先端を調査するよりは、ツール構築に時間を割くべきと判断し、本出張を取りやめた。その結果、予算の活用が想定より遅れている。
2019年度は、システムの更なる作りこみと同時に、他の方式と比較した評価を実施する必要があり、また、最先端の研究成果を踏まえた論文を執筆することを計画している。そのため、この残予算については、活用の時期こそ遅れたものの、当初の予定通り調査のために活用する予定である。
|
