セキュリティビッグデータを視覚化、隠れた脅威を解明する「CURE」誕生（1/2 ページ）

セキュリティ対策の専門組織として企業内での運用が進むSOCやCSIRTだが、組織として最も求められているのが、セキュリティ脅威の早期発見や攻撃行動が判明した場合の対応優先順判断（トリアージ）。膨大なセキュリティアラートや脅威情報の中から、ハイリスクなインシデントを発見して対処するスピードが重要となるが、そのスピードアップに貢献するのが「セキュリティ情報融合基盤」として開発された「CURE」だ。一体どんなものなのだろう。

[土肥正弘，ドキュメント工房]

「CURE」って何？

SOCやCSIRTにおける課題

　組織ネットワークが多様な脅威にさらされている現在、各種のセキュリティ対策機器が外部および内部からの脅威を防御している。しかし、全ての脅威をはねのけることは不可能に近い。また巧妙に仕組まれた標的型攻撃はひそかに組織ネットワーク内部に潜伏しながら侵入を深め、検知されないように内部情報の外部送信を行うため、攻撃が行われている事にすら気付けない場合が多い。そのため大企業やセキュリティサービス業者などは、セキュリティ対策の専門組織としてSOC（ソック：Security Operation Center）やCSIRT（シーサート：Computer Security Incident Response Team）を設置し、各種のセキュリティ機器が発報するアラートや情報端末のログの分析を常に行っている。SOCは攻撃や攻撃の前段階の兆候を早期に発見し、CSIRTは初動対応を迅速に実行できることを主眼に活動しているのだが、そこでの重要課題は、日々大量に発生するセキュリティ関連データの中から、大きなリスクにつながる不正活動をいかに早く見つけ出すかだ。

NICTが提供するプラットフォーム「CURE」とは？

　そんな活動に役立つプラットフォームとして登場したのが、2019年6月に国立研究開発法人情報通信研究機構（NICT）サイバーセキュリティ研究室が開発を発表した「CURE」（キュア： Cybersecurity Universal REpository）だ。