サイバーセキュリティの国際会議Black Hat USA 2025 Arsenalに当社社員のオープンソースツールが採択
~LLMの活用や独自のファストフォレンジックツールでセキュリティ業務を効率化~
トピックス
2025年7月22日
株式会社NTTデータグループ
株式会社NTTデータグループ(以下、NTTデータグループ)の社員が開発に携わるオープンソースツール3件(うち2件は日本のセキュリティコミュニティ「大和セキュリティ」注1のメンバーとの共同開発)が、世界有数のサイバーセキュリティの国際会議「Black Hat USA 2025」のArsenalセッションにおいて採択され、イベント登壇が決定しました。Black Hat USAは最新のセキュリティ研究やツールが共有される世界トップクラスの国際会議です。今回、LLM(大規模言語モデル)の活用による独自技術や、国内外での活用実績が評価され、最新のセキュリティツールや研究成果を実演するArsenalセッションで、厳正な審査を通過し、「SigmaOptimizer」「Hayabusa」「Suzaku」の3件のオープンソースツールが採択されました。
「SigmaOptimizer」の概要
近年、サイバー攻撃の高度化が進んでおり、それに対応するためには迅速かつ精度の高い脅威検知が求められます。しかし、従来のセキュリティの異常やアラートを記述するためのフォーマットである検知ルール(Sigmaルール注2)の作成には、専門知識と多大な時間が必要で、運用負荷が課題となっています。このような課題の解決をめざし、NTTデータグループは、LLMを活用して実際の攻撃ログを基にSigmaルールを自動生成・検証・最適化する「SigmaOptimizer」注3というオープンソースツールを開発しました。
「SigmaOptimizer」はMITRE Caldera注4と連携することで攻撃シナリオベースのSigmaルール生成や、自動コマンド難読化対応により、攻撃者の回避策にも強いルールを作成できます。また、初心者でも容易に操作できる「SigmaOptimizer-UI」注5も併せて開発しており、ユーザーにとって使いやすく、直感的な操作でルール作成ができます。特に、インシデント発生後の迅速なルール展開や、リアルタイムでの脅威ハンティング、SOC(Security Operation Center)業務における日常的な運用負担の軽減などで大きな効果を発揮します。
イベント講演情報
- 講演タイトル:
- SigmaOptimizer:Leveraging LLM and Real-world Logs for End-to-End Sigma Rule Generation and Optimization
- 講演者:
- 中島佑允(株式会社NTTデータグループ)
- 講演日時:
- 2025年8月7日(米国時間)
「Hayabusa」と「Suzaku」の概要
サイバー攻撃の証拠を収集・分析し、迅速に対応・復旧するプロセスであるDFIR注6において、Windowsイベントログやクラウドログは重要な情報源です。しかし、そのログ解析には専門的な知識や経験が求められるため、対応の難しさが課題となっています。このような課題の解決をめざし、「大和セキュリティ」は「Hayabusa」注7と「Suzaku」注8を開発し、初動対応を支援するファストフォレンジックツールとして提供しています。HayabusaはWindowsイベントログの高速解析と脅威検出を支援し、Suzakuはクラウドログの効率的な調査と可視化を支援します。いずれもシンプルなコマンドライン操作で、セキュリティコミュニティのナレッジを活用でき、調査の精度と効率を大きく向上させます。
イベント講演情報
- 講演タイトル:
- Windows Fast Forensics With Yamato Security’s Hayabusa
- 講演者:
- Zach Mathis(株式会社神戸デジタル・ラボ)、西川彰(株式会社カミナシ)、高橋福助(株式会社NTTデータグループ)
- 講演日時:
- 2025年8月6日(米国時間)
- 講演タイトル:
- Cloud Log Fast Forensics with Yamato Security’s Suzaku
- 講演者:
- 同上
- 講演日時:
- 2025年8月7日(米国時間)
NTTDATA-CERTについて
本講演に登壇するNTTデータグループの社員2名は、グループ内のCSIRT注9組織である「NTTDATA-CERT」に所属しています。NTTDATA-CERTでは、平時から国内外の関係機関と連携し、セキュリティインシデントの未然防止および発生時の対応に取り組んでいます。また、社会全体のセキュリティ向上に寄与することを目的に、今回の講演で紹介されるオープンソースツールをはじめとする、ツールの開発や普及にも取り組んでいます。
今後について
NTTデータグループは、オープンソースツール普及の推進、およびセキュリティ業界全体の技術向上と人財育成に、継続的に貢献していきます。また、DFIR分野に関わる多様なコミュニティと連携しながら、オープンソースツールの機能強化および活用を進め、より多くの組織が迅速かつ効果的なインシデント対応を実現できるよう取り組んでいきます。
注釈
- 注1 https://github.com/Yamato-Security
- 注2 https://sigmahq.io
- 注3 https://github.com/YusukeJustinNakajima/SigmaOptimizer
- 注4 https://caldera.mitre.org
- 注5 https://github.com/YusukeJustinNakajima/SigmaOptimizer-UI
- 注6 Digital Forensics and Incident Responseの略。サイバー攻撃やセキュリティインシデントに対し、デジタル証拠の収集・解析を行うフォレンジック調査と、インシデントの対応および復旧を行うプロセスの総称
- 注7 https://github.com/Yamato-Security/hayabusa
- 注8 https://github.com/Yamato-Security/suzaku
- 注9 Computer Security Incident Response Teamの略。企業や組織内で発生するサイバーセキュリティインシデントへの対応や、予防・再発防止に取り組む専門チーム
本件に関するお問い合わせ先
株式会社NTTデータグループ
技術革新統括本部
品質保証部
情報セキュリティ推進室
NTTDATA-CERT担当
大石、中島、高橋
E-mail:nttdata-cert@kits.nttdata.co.jp