企業動向

RainForestの「Senda-Nexus」がInterop Tokyoで審査員特別賞を受賞、OpenCTI統合環境も公開


株式会社RainForestが開発する純国産脅威インテリジェンス「Senda-Nexus」が、Interop Tokyo 2026 Best of Show Awardのセキュリティ部門で審査員特別賞を獲得しました。同社は、受賞技術を検証できるOpenCTI統合環境「opencti-osint-stack」もGitHubで公開しています。

Interop Tokyo 2026での評価ポイントは何か

「Interop Tokyo Best of Show Award」は、出展企業の製品やサービスを、メディア専門家や学術界の有識者で構成される審査委員会が審査するアワードです。Senda-Nexusは、RainForestが独自に構築・運用するサイバー攻撃観測環境とAI分析を組み合わせ、攻撃元IPアドレスに関する観測情報を、SOCやCSIRTの対応判断に活用できる脅威インテリジェンスへ変換する点が評価されました。

同サービスは、悪性IPアドレスへの該当有無に加え、Darknetおよびハニーポットにおける観測状況、攻撃対象となったポートやサービス、実際に観測された攻撃コマンドやExploit Path、想定される攻撃者の役割や攻撃目的、リスクスコア、深刻度、確信度、監視・調査・遮断などの推奨判断、MITRE ATT&CKの戦術・技術との関連情報を提供します。

OpenCTI統合環境の公開で何が変わるのか

RainForestは今回、OpenCTIと複数のOSINTコネクターをDocker Composeで構築できる「opencti-osint-stack」をGitHubで公開しました。OpenCTIは、サイバー脅威に関する技術情報および非技術情報を、構造化、保存、整理、可視化するためのオープンソースプラットフォームです。

本環境では、まず公開OSINTを用いて脅威情報の収集、統合、関連付け、可視化を検証できます。さらにSenda-Nexusを連携することで、RainForestが独自に観測したDarknetおよびハニーポットの情報、直近の攻撃セッション、攻撃コマンド、リスク評価、MITRE ATT&CKとの関連情報をOpenCTI上で確認でき、調査・監視・遮断などの対応判断に活用できるとされています。

OpenCTI統合環境「opencti-osint-stack」

OpenCTIプラットフォームの画面

2段階で利用できる構成

このOpenCTI統合環境は、以下の2段階で利用できる構成を採用しています。

1.無料OSINT構成

Senda-Nexusの契約がない場合でも、無料または無償利用枠で利用できるOSINTを組み合わせ、脅威インテリジェンス基盤の構築や検証を始められます。これにより、複数のOSINT情報の収集と一元管理、IPアドレスや脆弱性情報の関連付け、STIXに基づく脅威情報の構造化、脅威インテリジェンス運用の学習、検証、PoC、SOC・CSIRTにおける調査環境の試作などが可能です。個々のOSINTサービスを別々に確認することなく、OpenCTI上で同一のIPアドレスや脅威エンティティを軸に情報をまとめて確認できるとしています。

2.Senda-Nexus連携構成

Senda-Nexusを連携すると、無料OSINTによる外部評価に加え、RainForestが独自に観測した攻撃活動の情報を確認できます。主な追加情報は、Darknetおよびハニーポットでの観測情報、過去一定期間の攻撃傾向、直近の攻撃セッション、宛先ポート、プロトコル、攻撃コマンド、Web ExploitやShell Accessなどのリスクタグ、攻撃対象となった製品やフレームワーク、MITRE ATT&CKの戦術・技術へのマッピング、monitor、investigate、blockなどの判断支援情報です。これにより、外部OSINT上で悪性と評価されているかだけでなく、対象IPが実際にどのような活動を行っているかを確認し、対応判断に活用できるとしています。

OpenCTIのIPエンリッチメントレポート

観測ログを攻撃手法として構造化

Senda-NexusのEnrichment Live機能では、対象IPについて観測された個々の攻撃セッションを確認できます。今回のサンプルでは、HTTP経由の攻撃通信、BusyBoxやUnix Shellを利用するコマンド、Webアプリケーションを対象としたExploit Pathなどが抽出されています。さらに、観測結果を以下のMITRE ATT&CK技術へ関連付けています。

  • T1059.004 Unix Shell

  • T1059.008 Network Device CLI

  • T1190 Exploit Public-Facing Application

これにより、観測ログを単に保存するだけでなく、攻撃者がどのような手法を用い、どのような対象へ侵入しようとしているのかを整理できるとしています。

OpenCTIプラットフォームのライブセッション監視画面

公開の背景と今後の展開

脅威インテリジェンスの運用では、複数の情報源からデータを収集し、表記やデータ形式をそろえ、相互の関係を確認する必要があります。しかし、最初から商用サービスや大規模な基盤を導入することが難しい組織もあるのが現状です。RainForestは、まず無料OSINTを利用してOpenCTIの収集・分析環境を構築し、脅威インテリジェンスの運用を実際に試せる環境が必要だと考え、今回の公開に至りました。

同社は今後、opencti-osint-stackで利用可能なOSINTコネクターや脅威情報ソースを拡充するとともに、Senda-Nexusの機能連携を強化するとしています。また、OpenCTI上に取り込んだ情報を、SIEM、SOAR、WAF、EDRなどのセキュリティ運用基盤と連携し、調査、監視、遮断などの対応へ活用できる環境の整備を進める方針です。Senda-Nexusを単体の脅威情報サービスにとどめず、組織が保有する既存のセキュリティ基盤やCTI運用へ組み込める脅威インテリジェンス基盤として発展させていくとしています。

ソース元:純国産脅威インテリジェンス「Senda-Nexus」がInterop Tokyo 2026で審査員特別賞を受賞

ページトップへ戻る
×