中島 佑允

2019年にNTTデータグループに入社し、営業として画像処理や自然言語処理ソリューションなどを販売。2023年4月より同社のCSIRT部隊「NTTDATA-CERT」に異動し、インシデント対応、IoCの収集～配信業務、並びにAIを用いたCSIRT業務の効率化に従事。また、C2フレームワーク開発、OSSの脆弱性探索、バグバウンティプログラム参加などオフェンシブセキュリティに強く関心を持つ。JSAC2025 Speaker, CISSP, OSTH

SigmaOptimizer: LLMを活用したSigmaルール作成ワークフローの自動化

Sigmaルールは、脅威検知の要ですが、有効なルールを作成するには、攻撃手法への深い理解と多大な時間・労力を要します。近年では、大規模言語モデル（LLM）を用いて脅威レポートからSigmaルールを自動生成する手法が注目されていますが、以下のような課題も指摘されています。

正確性と信頼性の問題：実際のログに基づかないルールは、LLMの幻覚（hallucination）によって誤検知や漏れを引き起こすリスクがあります。

検知の遅延：脅威レポートは攻撃発生から一定の遅延を伴って公開されるため、それに基づく対応はタイムラグを避けられず、インシデント発生リスクが高まります。

本セッションでは、これらの課題を克服するために開発した「SigmaOptimizer」を紹介します。SigmaOptimizerは、実際のログとLLMを組み合わせて、Sigmaルールの生成、構文チェック、検知効果の検証、誤検知の評価までを自動で行う革新的なツールです。さらに、コマンドの難読化に対応したルール強化機能を備え、回避技術に対する耐性も向上させています。

また、MITRE Calderaと連携することで、様々な攻撃技術を自動的に実行し、その結果得られたログからSigmaルールを自動生成・評価することが可能です。これにより、現実的な脅威カバレッジの拡大と、ルール作成にかかる手間の大幅な削減を実現します。