ネットワークや情報システムを中心とした技術面のセキュリティとは異なり、ユーザを中心とし、心理学、行動経済学などのアプローチを取り入れた研究をしています。ユーザの負担を軽減し、効率性や有効性を損ねることなく行動や意思決定につながる対策の試みを行っています。

マルウェア解析やネットワーク監視によって得られる情報に加えて、脅威アクタの観測や攻撃者が提供するサービスCaaS (Crime as a Service)の観測、その背景にある仮想通貨取引の観測を融合し、サイバー攻撃エコシステムの解明に向けた研究を行っています。SNS・ダークウェブ等の観測による情報収集技術の研究開発や収集した情報の分析手法の研究開発を行っています。

サンドボックスなどの先端防御技術を回避する高度なマルウェアへの対策を研究しています。また、既存のセキュリティ技術・サービス(例：ウイルス対策ソフト、セキュリティアプライアンス、マルウェア解析サービス)がこれらの高度なマルウェアに対して、どの程度対抗し得るのかを評価する方法の研究をしています。

モノのインターネット(Internet of Things: IoT)を構成する様々な機器が大量にマルウェア感染している事実を囮観測システム(ハニーポット)により世界で初めて詳細に観測、分析しました。これまで国内外の100以上の研究組織やセキュリティベンダに情報提供・マルウェア検体提供しています。また、この研究成果は情報処理推進機構「情報セキュリティ白書2016」や総務省・経済産業省が発表した「IoTセキュリティガイドラインver1.0」でも取り上げられています。

近年の大規模なサービス妨害攻撃の原因の１つである、反射型分散サービス妨害攻撃(Distributed Reflection Denial of Service Attack: DRDoS Attack)をリアルタイムで観測し、即時警報を発行するシステムを世界で初めて提案し運用しています。即時警報を国内ISP等に提供しています。また、これらの攻撃がCDNを回避して行われるケースや攻撃を受けた組織の特定などについて研究をしています。また、観測された攻撃の影響度を計測する試みも行っています。

特定の組織や個人を狙った標的型攻撃対策の研究を行っています。標的型マルウェア検体や、これらの検体に内包される囮文書の解析により、サイバーインテリジェンスの蓄積や攻撃検知手法の開発を行っています。

Webを媒介としたサイバー攻撃の観測や対策を行う実証実験プロジェクト「WarpDrive」に参画し、悪性サイトの探索、検知を実施すると共に、実証実験に参加しているユーザのネットワーク環境のセキュリティチェックを行う機能の研究開発を実施しています。