サイバー攻撃の小さな予兆を見逃さない　
信州大学「SUSIRT」の取り組み

組織内で情報セキュリティに関連するインシデントが発生したときに対応する専門チーム、CSIRT(Computer Security Incident Response Team：シーサート)。サイバー攻撃の手法が年々複雑化し、ネットワークを監視してインシデントを早期に発見・対応することの重要性が増していることを背景に、多くの大学や企業が設置しています。

今回は、国立大学法人信州大学のCSIRTである「SUSIRT(エスユーサート)」について、2024年9月末まで信州大学の理事(情報・DX担当)・副学長、CISO(最高情報セキュリティ責任者)とSUSIRTのチーム長を務め、現在は特任教授を務めている不破 泰氏と、2024年9月末まで情報基盤センター 准教授でSUSIRTにオブザーバーとして参加していた内山 巧氏に、SUSIRT設立の経緯や活動内容、そしてSUSIRTにおける「NetEyez® Security」の活用方法についてお聞きしました。

本記事は、2024年7月に東陽テクニカが開催したオンラインセミナー「【事例で学ぶ】ネットワーク監視・障害解析のベストプラクティス」にてご講演いただいた内容を基に作成しております。

信州大学「SUSIRT」設立の背景

信州大学のご紹介をお願いします

不破氏： 信州大学は1949年に設立され、8学部・大学院5研究科を持つ総合大学です。学部・大学院を合わせて約11,000人が在籍しております。キャンパスは松本キャンパス、長野(教育)キャンパス、長野(工学)キャンパス、伊那キャンパス、上田キャンパスの5ヵ所にございます。

信州大学のSUSIRTについて教えてください

不破氏： SUSIRT(Shinshu University Security Incident Response Team)は、2020年12月に設立されました。信州大学の情報DX推進体制の中で、SUSIRTは情報・DX戦略本部と並び、情報DX推進戦略の策定組織として重要な役割を担っています。

不破 泰氏
「【事例で学ぶ】ネットワーク監視・障害解析のベストプラクティス」でのご講演より

SUSIRT設立の背景にあるのは何ですか

不破氏： サイバー攻撃者のレベルが高くなっているというのが大きな背景です。

かつての攻撃者は、自らのネットワークに関する知識を使ってハッキングプログラムを作成し、技術を競う人々でしたが、現在の攻撃者は、国家レベルの組織や思想集団(ハクティビズム)、ビジネス目的の犯罪集団などが主な姿となっています。24時間365日、攻撃だけに集中しているプロです。

また近年は、高度な技術を持つ専門家や重要な情報を持つ組織への攻撃が増えています。インシデントの原因も、ネットワークを使った攻撃、具体的には不正ログインやマルウェアなどが大きく増加傾向にあります。

信州大学が今後さらに重要な研究を進め、社会的ステータスが上がると、攻撃される可能性が高まります。一方、大学は教育や研究を行う組織であるため、攻撃を防ぐことに専念できるのはほんの一部の人材と時間であり、我々が攻撃のプロ集団を相手に対応するのは難しいというのが実状です。

SUSIRTはどのような役割を果たすのでしょうか

不破氏： 大学では、攻撃者に対する防御システムの構築、ユーザーへの教育など、さまざまな防御策を進めていますが、被害を完全に防ぐことはできません。そこで、サイバー攻撃が発生したときに、被害を最小限にとどめるための組織「SUSIRT」を設立しました。具体的には、被害を早期に発見し、対処を開始し、事後処理の助言をする活動をしています。

被害の早期発見に向けてさまざまなシステムを活用し、その精度を高め、人の負荷を減らすために新たな体制整備を試みているところです。

SUSIRTマスコットキャラクターのBuddyくん(バディくん)(信州大学提供)

SUSIRTの活動と抱えていた課題

SUSIRTの具体的な活動について教えてください

内山氏： 中心となる活動は、インシデントトリアージとインシデント解決の支援です。

(1)インシデントトリアージ
学内外でセキュリティ上の問題が発生したときに、事象を確認し、緊急対応が必要か否か、リスクの大きさなどを判断します。そうしたインシデント対応において優先順位をつける作業を「インシデントトリアージ」と呼びます。また、インシデントの早期発見を目的として、大学とインターネット間の通信を監視していますが、異常を検知したときにもインシデントトリアージを行います。

(2)インシデント解決の支援
被害拡大を防止するための緊急対応、原因特定、対象機器やシステム復旧のための支援を行います。また、情報セキュリティインシデントの再発防止策策定も支援します。

内山 巧氏
「【事例で学ぶ】ネットワーク監視・障害解析のベストプラクティス」でのご講演より

異常の検知に東陽テクニカの「NetEyez® Security」を活用いただいています。導入以前は、どのように異常を検知していましたか

内山氏： ファイアウォールが出力するログを確認し、通信をチェックしていました。大学内ネットワークは、UTM(統合脅威管理)の機能を持ったファイアウォールを介してインターネットに接続しています。ファイアウォールが通信を許可・拒否した通信ログ、UTMが検知した通信ログをログサーバーに出力し、分析用サーバーに取り込んでブラウザーで確認できる構成です。SUSIRTのメンバーが画面を通して通信をチェックするというフローでした。

SUSIRTにおける従来の異常検知フロー
「【事例で学ぶ】ネットワーク監視・障害解析のベストプラクティス」でのご講演より

従来の異常検知フローには、どのような課題がありましたか

内山氏： ログが多く、小さな変化に気づけないという課題がありました。ログサーバーから分析用サーバーに取り込むときに、必要な部分だけ抽出しているものの、多いときは1億行以上のログがあり、処理や分析に時間がかかります。

分析用サーバー上には大量のログがあり、大量の警告が出力されます。目で見てわかる大きな変化にはすぐ気づくことができますが、小さな変化や、小さいけれども重大な予兆などを見逃してしまうというリスクがありました。インシデントの早期発見のために、大量のログの中から異常を正確かつ効率的に見つけることが課題となっていました。

「NetEyez® Security」で異常の予兆を発見する

「NetEyez® Security」導入のきっかけは何ですか

内山氏： 信州大は、長野県内5ヵ所にキャンパスがあり、ネットワークは相互接続しています。以前、あるキャンパスで原因不明のネットワークに関連する事象が発生しました。そのときにネットワークはインターネットに接続されておらず、通信が大学ファイアウォールを経由していなかったため、通信のログ分析ができず、異常となる端末を特定できなかったのです。

そのときに、東陽テクニカから「NetEyez® Security」ポータブル型の活用について提案がありました。特定のキャンパス内で限定的に異常が発生したときに現地に持ち込み、すばやく問題把握ができるという、信州大のキャンパス事情に即したソリューションであったため導入を決めました。

現在、SUSIRTで「NetEyez® Security」をどのように活用していますか

内山氏： 通常は脅威インテリジェンスとして活用しています。「NetEyez® Security」は10Gbpsまで監視可能なので、大学全体の通信を可視化する運用を行っています。現在、既存のファイアウォールと分析用サーバーと並行して設置し、両方の機能を活用して通信をチェックしています。

SUSIRTにおける現在の異常検知フロー
「【事例で学ぶ】ネットワーク監視・障害解析のベストプラクティス」でのご講演より

具体的な活用事例を教えてください

内山氏： 「NetEyez® Security」には、IDS機能(不正アクセスや異常な通信を検知)に加えて、異常の手掛かりとなる通信を抜き出す機能があります。

SUSIRTが抱えていた、「大量の通信のログに埋もれて小さな変化を見つけることが困難」という課題に対し、「NetEyez® Security」はログの量に関係なく異常の手掛かりとなる情報をピンポイントで提供してくれますので、SUSIRT側では情報をもとにチェック対象を絞りやすくなりました。

「NetEyez® Security」の活用
「【事例で学ぶ】ネットワーク監視・障害解析のベストプラクティス」でのご講演より

最も活用しているのは、アセット情報(IPアドレス単位の情報)と脅威情報(時系列の情報)です。

まずアセット情報で、どんな脅威がどのIPアドレスで発生しているかを確認します。例えば「スパイウェアに感染して、C&C通信(外部から乗っ取り操作)をして実行ファイルをダウンロードさせられた」などの情報が分かります。脅威を発生させているIPアドレスをすぐに特定し、チェック対象として絞り込むことが可能です。

次に、このチェック対象のIPアドレスを脅威情報の中から抜き出すことで、いつ、どのIPアドレスと通信してどのような脅威があったか時系列で確認することができます。

従来のファイアウォールとUTMのログだけでは、このIPアドレスは埋もれてしまってチェック対象になる可能性は低かったと考えられます。しかし「NetEyez® Security」を併用することで、大量の通信からSUSIRT担当者が効率的にチェック対象を絞り込むことができるようになりました。

これまでに大きな異常を発見したことはありますか

内山氏： 幸いなことにマルウェア感染は検知していませんが、ヒヤッとしたことはありました。アセット情報でチェック対象を絞り込んだところ、マルウェアに悪用されるIPアドレスと通信を行っている可能性が示されたのです。そこで分析用サーバーのログも確認したところ、確かに対象のIPと通信を行ってはいましたが、アクセス先のURLが異なっていることが分かったため、問題ないと判断し調査は終了としました。「NetEyez® Security」の情報をもとに、特徴ある通信を発見してしっかりと調査できたという事例です。

今後の課題と展望

新たな課題や、その課題解決に向けて今後「NetEyez® Security」に期待いただく機能を教えてください

内山氏： 「NetEyez® Security」の運用を始めて、新たなアプローチで通信のチェックが可能になりました。一方、アセット情報と脅威情報の分析が新たな作業として加わったこと、これらの情報を手動で取得していることは少々負担になっていると感じます。

例えば、「NetEyez® Security」から定期的にアセットや脅威の情報を取得して、一定の条件で調査対象を絞りこむことができれば、調査対象IPリスト作成までを自動化して時間短縮が期待できると考えています。さらにAPI経由で該当するログを取得するよう設定できれば、分析に必要な時間も短縮可能で、必要な情報をすべて自動的に揃えられますので、このような機能を期待しています。

「NetEyez® Security」の最新バージョンでは、各種ログや記録をSyslogへ出力する機能が備わっていて、これまで以上に事象を検知可能と聞いており、SUSIRTでの活用は今後の検討事項となっています。今後、Syslogを経由してアセットや脅威に該当するログを取得できるか検証し、分析用サーバーとの連携までを自動化することを計画しています。

また、APIを経由して「NetEyez® Security」からさまざまな情報を取得できれば、活用の幅がさらに広がると思いますので、こちらも実装を期待しています。また、調査対象のホストやIPアドレスを絞り込むときにAIや機械学習を活用できれば、より正確に効率的に、特徴的な通信を抽出できるでしょう。調査結果や分析結果を学習させることで、危険か否かの最終的な判断をする支援も期待したいです。

最後に、今後のSUSIRTの活動の展望などをお聞かせください

不破氏： 大学や病院などをターゲットとする攻撃は、ますます巧妙で執拗なものになってきており、SUSIRTの役割はさらに増大しています。一方でSUSIRT活動に割り当てられる人材や予算には限りがあります。そのような事情からも、我々は「NetEyez® Security」の機能拡張に大変期待をしているとともに、このような機器をうまく使いこなしながらSUSIRTの体制を整備し、大学の責務を果たしていきたいと思っています。

貴重なご意見をありがとうございました。今後も、「NetEyez® Security」の機能を拡張し、情報セキュリティ部門の負担を軽減できるようなソリューションを提供してまいります。今後ともよろしくお願いいたします。