MISP

MISP (Malware Information Sharing Platform、マルウェア情報共有プラットフォーム) はオープンソースの脅威インテリジェンスプラットフォーム（英語版）である。MISPプロジェクトは、セキュリティ侵害インジケーターを共有することでより効果的な脅威インテリジェンスを実現するためのユーティリティとドキュメンテーションを開発するものである^[1]。MISPインスタンス (フェデレーション（英語版）) を運用している組織はいくつかあり、こうした組織の一覧はウェブサイト上で公開されている^[2]。

MISP - マルウェア情報共有プラットフォームと脅威共有

作者	Christophe Vandeplas
開発元	Andras Iklody (主任開発者) およびその他のコントリビューター
リポジトリ	https://github.com/MISP/MISP
プログラミング 言語	PHP
ライセンス	GNU AGPL v3
公式サイト	https://misp-project.org

歴史

MISPプロジェクトは2011年6月頃に始まった。Christophe Vandeplasは、電子メールやPDF文書で共有されるIOC (セキュリティ侵害インジケーター) や自動機械ではパースできないIOCが多すぎることに苛立っていた。そこで、自宅でCakePHPを使って作業を開始し、自分のアイディアの概念実証を作った。VandeplasはそれをCyDefSIG (サイバーディフェンスシグネチャー) と呼んだ。^[3]

2011年7月中旬、Vandeplasがこの個人プロジェクトを職場 (ベルギー軍) で披露したところ、反応は好意的だった。ベルギー軍は、Vandeplasの個人サーバー上で稼働していたCyDefSIGへのアクセス権を入手した後、2011年8月中旬からCyDefSIGを公式に使用し始めた。その後、Vandeplasは勤務時間の一部をCyDefSIGの開発に充てることを許されたが、依然として自宅でも作業を行っていた^[3]。

NATO (北大西洋条約機構) もある時期にCyDefSIGプロジェクトのことを耳にした。2012年1月、NATOにCyDefSIGプロジェクトを詳しく紹介するためのプレゼンテーションが初めて行われた。NATOは他の市販品も検討したが、CyDefSIGのオープン性を最大の優位点と考えたようである。Andrzej DereszowskiがNATO側からの最初の非常勤開発者であった^[3]。

これがきっかけとなり、数ヶ月後、NATOはコード改良と機能追加のためフルタイムの開発者を雇用した。この日、共同開発が始まった。多くの個人プロジェクトと同様にライセンスはまだ明記されていなかったが、プロジェクトをAffero GPLライセンスで公開することが共同で決定された。これはできるだけ多くの人々とコードを共有し、コードを害悪から守るためである^[3]。

そしてCyDefSIGプロジェクトはNATOのAlex Vandurmeが考案したMISP (Malware Information Sharing Project、マルウェア情報共有プロジェクト) という名称に改められた^[3]。

2013年1月、Andras Iklodyは、当初NATOに雇用されて夕方と週末にオープンソースプロジェクトに参加していた頃、MISPのフルタイムの主要開発者となった^[3]。

一方、他の諸組織もMISPを採用し始め、CERT界隈 (CERT-EU、CIRCL等々) でMISPの採用を推進した^[3]。

現在、Andras IklodyはMISPプロジェクトの主任開発者であり、CIRCLに勤務している^[3]。

MISPプロジェクトの拡充の結果、MISPはマルウェアインジケーターだけでなく、詐欺行為や脆弱性情報も扱うようになっている。現在の名称はMISP, threat sharingであり、これにはコアソフトウェアとMISPをサポートするための多数のツール群 (PyMISP) とフォーマット (コアフォーマット、MISPタクソノミー、警告リスト) が含まれている。現在、MISPはボランティアチーム主体のコミュニティプロジェクトである^[3]。

資金

MISPプロジェクトは (en:Connecting Europe Facilityを通じて^[4]) EUとCIRCL (コンピューターインシデント対応センタールクセンブルク) から資金提供を受けている。

インテリジェンス統合

MISPによって管理されるセキュリティ侵害インジケーターのソースは、組織内のインシデント調査チーム、インテリジェンス共有パートナー、商用インテリジェンスソース等、多岐にわたることがある。 MISPと統合された商用ソースには、シマンテックDeepSight™ Intelligence、カスペルスキー脅威フィード、McAfee (マカフィー) Active Response等がある。

脚注

1. “MISP threat sharing platform”. media.ccc.de. 19 February 2019閲覧。
2. “MISP Communities”. www.misp-project.org. 19 February 2019閲覧。
3. “Who is behind the MISP project?”. MISP-Project.org. 2019年2月14日閲覧。 素材はこのソースからコピーされた。ソースはCreative Commons Attribution-ShareAlike 3.0 Unportedライセンスで利用可能。
4. “Digital Single Market - MISP”. ec.europe.eu. 2019年2月19日閲覧。

外部リンク

• IETF draft-dulaunoy-misp-taxonomy-format-06
• Building and designing MISP: A practical information-sharing tool for cybersecurity and fraud indicators
• Privacy Aware Sharing of IOCs in MISP
• MISP: Sharing Done Differently