TOPセキュリティ > サイバーセキュリティの防御フレームワーク、D3FEND(後)...

セキュリティ

サイバーセキュリティの防御フレームワーク、D3FEND(後)

2021/08/26

David Strom CSO

 「D3FEND」は、非営利研究機関の米MITREが今年6月に発表した新しいセキュリティフレームワークで、防御の戦略や手法に関する共通言語の確立を目的としている。MITREの既存のフレームワーク「ATT&CK」を補完する位置づけにある。

前回から続く)

D3FENDが登場した経緯

Credit: Sutad Watthanakul / Getty Images
Credit: Sutad Watthanakul / Getty Images

 D3FENDは、セキュリティ関連の特許情報を包括的に精査した初の試みだが、その取りまとめには困難も伴った。特許データベースを情報源として使ったのは、名案でもあり、苦労の元でもあった。特許情報を使うという着想をKaloroumakis氏が得たのは、MITREに加わる前、米セキュリティ企業BluVectorの最高技術責任者(CTO)として、特許申請をレビューした時だった。「一連の特許情報を見ると、技術明細には驚くほどのばらつきがある。想像力の入り込む余地がほとんどない特許もあれば、抽象的で理解しづらい特許もある」

 Kaloroumakis氏は、サイバーセキュリティ関連の特許申請の多さに驚いた。100件以上申請しているベンダーもあったという。今回のプロジェクトでは、サイバーセキュリティ関連の特許を一つ残らず分類したわけではないと同氏は話す。あくまで、タクソノミーとナレッジグラフの作成という目的を達成する手段として、特許情報を利用した。また同氏は、特許申請の中で言及されている個々の技術やセキュリティ手法が、実際の製品で必ずしも採用されているとは限らないという点も強調している。

 D3FENDのナレッジグラフで実際に取り上げられている防御手法の例として、URL分析を見てみよう。定義と説明を見ると、URLの構成要素(ドメイン名やポート番号など)を分析して良性か悪性かを判定するのがURL分析であることや、URLがあった場所(メール内、Webページ)などのコンテキスト情報を分析の対象に含める場合があることなどを確認できる。このほか、元になった英Sophosなどの特許や、関連するATT&CKの手法(スピアフィッシングやドライブバイ攻撃など)へのリンクもある。

↑ページ先頭へ