2024-03-29T07:17:09Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:002232152023-11-14T00:51:14Z06164:06165:06462:11124
アジャイル型のサイバー攻撃解析用模擬ICT環境構築・管理システムAgile ICT environment building and management system for cyberattack analysisjpnHuman-operatedなサイバー攻撃,解析用環境構築,アジャイル構築http://id.nii.ac.jp/1001/00223106/Conference Paperhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=223215&item_no=1&attribute_id=1&file_no=1Copyright (c) 2022 by the Information Processing Society of Japan国立研究開発法人 情報通信研究機構国立研究開発法人 情報通信研究機構国立研究開発法人 情報通信研究機構国立研究開発法人 情報通信研究機構国立研究開発法人 情報通信研究機構国立研究開発法人 情報通信研究機構国立研究開発法人 情報通信研究機構金谷, 延幸津田, 侑遠峰, 隆史鈴木, 悦子佐藤, 茂田中, 秀一井上, 大介Human-operated なサイバー攻撃の解析には実際の企業 ICT 環境を模した模擬環境を用いることが有効であるが,攻撃者のモチベーションに応じた構成の模擬環境を用意できるかが解析の成否に大きく影響する.模擬環境を用いた解析では,まず攻撃者のモチベーションに応じてネットワーク,OS,サービス・アプリケーションなどの論理構成が設計され,模擬環境を構築し攻撃解析を行い,解析結果により構成を再検討し,修正された模擬環境を再構築する限られた解析期間内でのサイクル,いわば模擬環境のアジャイル構築が行われる.また,そのプラットフォームとして,様々なハイパーバイザ・コンテナ技術が利用され,その規模も大きく変化し,解析専用ネットワーク上に構築されるなど,その物理構成も多様である.従来の環境構築技術では,一般的な企業・組織などの ICT 環境やテストベッドなどウォーターフォール的に構築できるのみであり,模擬環境を更新しつつ,その構成を再利用することが困難であった.そこで我々は,論理構成及び物理構成を表現する2つのモデルに基づき模擬環境を定義することで,模擬環境の設計・構築・テスト・運用の反復によるアジャイル構築を,異なる技術が混在するプラットフォーム上に実現する構築システムを提案する.この構築システムは,動的に論理的・物理的な構成を変更することができ,また構成の変化を検出し履歴を管理し,過去の構成を再現することが出来る.我々は構築システムのプロトタイプを開発し,実際の解析に利用される模擬環境を構築することで提案システムの評価を行った.A mimetic environment that imitates an actual corporate ICT environment is effective for analyzing human-operated cyberattacks, but the success of the analysis depends greatly on the ability to prepare a mimetic environment with a configuration that matches the attacker's motivation. In analysis using a mimetic environment, the logical configuration of the network, OS, service applications, etc. is first designed according to the attacker's motivation, the mimetic environment is built, attack analysis is performed, the configuration is reconsidered according to the analysis results, and the modified mimetic environment is rebuilt.An analysis cycle like this is repeated in a short time, namely, the cycle is agile. Various hypervisor and container technologies are used as the platform for the mimetic environment, and the scale of the mimetic environment varies greatly, with the physical configuration of the mimetic environment being built on a dedicated analysis network.Conventional building technologies can only build ICT environments and test beds in general companies and organizations in a waterfall fashion, making it difficult to reuse the configuration while updating the mimetic environment. We propose a building system that enables agile building by iterative design, building, testing, and operation of mimetic environments on a mixed-technology platform by defining a mimetic environment based on two models that represent logical and physical configurations. The system can dynamically change its logical and physical configuration, detect and maintain a history of configuration changes, and reproduce past configurations. We developed a prototype of the proposed system and evaluated it by building a mimetic environment used for actual analysis.コンピュータセキュリティシンポジウム2022論文集116311702022-10-172022-12-20