プロアクティブな脅威インテリジェンス ~人と技術の歩み~

サイトウアヤ

2021.07.28

2021年5月開催の「Cyber Intelligence Summit 2021」に登壇されたグローバル・インテリジェンス・アドバイザー Laith Alkhouri氏の講演「プロアクティブな脅威インテリジェンス ~人と技術の歩み~」の邦訳・一部抜粋記事です。

関連記事：脅威インテリジェンスとは何か？　その種類と重要性

目次：

インテリジェンスとセキュリティとの違い

セキュリティ対策を取る上で問題となることは、みなさんがセキュリティを問題解決の手段だと考え、防御策を整えようとしていることです。私たちがやるべきことは、資産やネットワーク、環境を保護する際に、単なるディフェンシブな（守りの）姿勢から、プロアクティブな（攻めの/能動的な）姿勢に移行することです。プロアクティブの対義語であるリアクティブとは、インシデントや出来事の動きへの反応として行動することです。ディフェンシブな対策はこれに当たり、対処する側にコントロールが不足しています。脅威を軽減する上でインテリジェンスを注視し、インテリジェントな手法を取るなら、それはプロアクティブな手法ということになります。

サイバーの世界と脅威アクター

脅威はどこからやってくる？

では、インテリジェンスを注視しプロアクティブな対策をとるにはどうしたら良いか。まずは、脅威がどこからやってくるかを理解する必要があります。

今日、サイバー空間は脅威で溢れています。ネットワークに対する脅威、資産に対する脅威、環境に対する脅威、取引記録や金融機関に対する脅威、政府に対する脅威…。今申し上げた場所にほとんどの脅威アクターが集まってきています。

今の時代、あらゆるものにサイバー的な要素が存在し、Eコマースであろうと、教育であろうと、SNSであろうと、基本的に誰もがネット空間にいて、誰もがデジタルな足跡を残しています。このことから、インターネットは史上最大の生活空間であることが分かります。また、サイバーの世界は人と人とが接続された、完全にボーダーレスな世界です。一方で、サイバーの世界は匿名のままでいられる場所でもあります。アバターを使ったり、自分とは異なる自己像を作り上げたり、脅威アクターから追跡や監視されない状態を確保したり。また、サイバーの世界はクリエイティブでもあります。あらゆるものにアクセスでき、無料、もしくは有料のソフトウェアを手に入れることも、学習のために他の人とつながることも可能です。しかし、マルウェアを入手して他人を狙うこともできるのです。

多様な脅威アクターたち

まず、脅威アクターはみな同じではありません。多くの人が「ハッカー」や「ハッカーフォーハイヤー」（「雇われハッカー」）、あるいは「ブラックハット」を話題にしますが、ネット上には非常にたくさんの種類のアクターが存在しており、どれも脅威となっています。

まず、金銭目的のサイバー犯罪者。これらは金融機関、POSシステム、小売業者、航空業界を狙う者で、お金だけが目的です。次に「ハッカー」、「雇われハッカー」。金銭目的の者もいますが、多くは政治や環境問題に関する成果やイデオロギーを動機としています。続いて「プロパガンダを広める者」。国家の支援を受けている場合もある、偽の情報や誤報を広める者たちです。また、「テロリスト」は人員の募集、プロパガンダの宣伝、暴力的活動のためのコミュニケーションや資金集めを行なっています。そして「悪意のあるインサイダー」。組織の内部にいて、企業秘密を販売したり、企業スパイを行なったり、ネットワークへのアクセス権を悪用目的で外部に提供する者もいます。そして「晒し行為を行う者」。これはできるだけ多くの情報を集め、公開された情報を収集し、それをネットに晒す者です。特定の重要人物を狙うことも、あまり重要でない個人を狙うこともあります。他にも「薬物や武器の売人」や「人身取引や密輸を行う者」などネットワークを利用し匿名で活動するアクターもいます。

「人」はインテリジェンスの要

今日私たちが大量の脅威とリスクに直面する中、脅威アクターたちは常に私たちの先を行っています。脅威アクターは常にシステムの隙を偵察し監視し続け、組織の境界を試し、潜入しようとしています。また、アクターは非常に革新的かつ分権的で、常にデータのみならず他人のミスをも利用して、ネットワークに潜入したり、データベースをハッキングしたり、重要データを盗んで収益化・武器化したりして、利益を得ようとしているのです。

一方、ネットワークやシステムを保護する現場に目を向けてみると、どうでしょう？常に資源が不足しており、常に業務過多で、さまざまなソリューションを導入するため膨大な金額を費やしていますが、やはり遅れをとっています。

人間的な要素はセキュリティの全てであり、インテリジェンスの全てです。人間は最も弱く、それでいて最も強い要素だということが分かります。

サイバー脅威インテリジェンス

サイバー脅威インテリジェンス（CTI）とは?

まずは、サイバー脅威インテリジェンス（CTI）を噛み砕いて説明します。それによって、CTIの本当の意味と、「プロアクティブであること」の意味をご理解いただこうと思います。

サイバーは、仮想空間のことを意味しますが、ボーダーレスで、先に申し上げた通り匿名性があり、互いに利害関係にある世界中のピア（相手）で溢れています。

脅威とは、害や、害を与えようとする意思に関するもので、搾取的で、金銭的もしくはイデオロギー的な動機を持っています。要するに、損害を与えるものであれば、それは脅威です。

そしてインテリジェンスとは、文脈の中に位置付けられたデータです。「なぜ」や「だから何」を伝えてくれるデータです。意味のあるデータ、本質を突くデータであり、実践で使え、脅威の軽減に役立ち、多くの場合予防に役立つものです。

よって、プロアクティブという観点からCTIを定義すると、こうなります。

「より多くの情報に基づいた判断（セキュリティだけでなく事業という見地からもより良い判断）を下し、リスクを軽減し、重大インシデントよりも前に予防措置を取ることを組織ができるよう、脅威アクティビティや脅威アクターに関するデータを分析し文脈に当てはめるための行動を取る」ということです。

インテリジェンスの3要素

脅威アクティビティと明らかに関係するインテリジェンスを分析する際に、自問すべき非常に大切な3つの問いがあります。

まずは「情報源」です。情報が投稿された場所はどこか。つまり、情報の発生源はどこか。確認できる特徴は何か。これによって、情報源の重要度を理解でき、かねてから重要だったのか、最近表面化したばかりなのか、過去に見た有名な脅威アクターが集めたものなのかを理解できます。

次に「アクター」。この情報の投稿に関わったのは誰なのか。攻撃を仕掛けている者、データを投稿する者、スレッドを作成している者は誰か。支持する戦術、技術、手順はどんな種類のものか。これによって、脅威がどれだけ大きなものか、そもそもそれは脅威なのかを最初の段階で理解することができます。

続いて「文脈」。文脈とはつまり、その情報が自分の組織にとって重要である理由のことです。情報源がわからない、脅威アクターの帰属を特定できないといったことは、よく起こります。しかし、自分の業界にとって重要な理由、自分のいる場所にとって重要な理由が分かれば、自分をより一層保護することができるようになるのです。

インテリジェンスの原則

インテリジェンスとは単なる重要な情報だと考えている方が多いです。しかし、インテリジェンスの原則には、さまざまなものが存在します。

自分が知った情報、分析した情報は客観的であるか。その情報は脅威の軽減にすぐに役立つものであるか。セキュリティの部署だけに限らず、全ての部署が利用でき、意思決定者も能率的に運用できるか。そしてタイムリーかどうか。多くのインテリジェンスは、ある時期を過ぎると、もはや重要でないものとなっていることが多いです。また、インテリジェンスに予測力があるかも重要なポイントです。私たちが知りたいのは、インテリジェンスが伝える内容が近い将来のことなのか、ずっと先のことなのかだからです。また、協力的かどうか。インテリジェンスは一人の人間のみによってなされるものではなく、一つだけの情報源から来るものでもありません。協力的なインテリジェンスとは、複数のチームが貢献できるインテリジェンスです。そして、そのインテリジェンスには耐久性評価が備わっているか。

これらは、あらゆる情報を分析する際に目指すべき原則です。ただ、もしインテリジェンスの全ての原則を2つの言葉に要約するとしたら、「インテリジェンスとは『すぐ使えること（実用性）』と『文脈に即して理解すること』」です。データを文脈の中に位置づければ、何らかの行動を起こすことができるようになり、行動を起こせばインテリジェンスをより理解できるようになり、真に情報に基づいた決断を下せるようになります。

まとめ

インテリジェンスの重要性、インテリジェンスの原則、インテリジェンスの3要素、それから、脅威アクターを理解すること、脅威アクティビティの発生源を理解すること、それを文脈の中に位置付け、自分の組織にとってどれだけ重要かを理解することをお話しました。

冒頭で、セキュリティがややリアクティブであるのに対し、インテリジェンスとはプロアクティブ、つまり能動的な、「攻めの」モデルだとお話ししました。私たちはみな、守るべき「城」を持っています。銀行であろうと、政府機関であろうと、守るべき重要なデータやネットワークを持っています。私たちはみな「守り」の対策を用意し、それを「セキュリティ」と呼び、データやネットワークを「守って」います。一方で脅威アクターたちは「守り」の壁を破って、人のデータに手を伸ばすことに夢中になっています。

私の考えでは、セキュリティとはインテリジェンスの一部であり、その逆ではありません。よってインテリジェンスとは、確かに、守りの壁を用意することであり、データと資産を守ることですが、それだけではなく、情報を監視することでもあり、脅威アクターを監視することや脅威アクターの環境を調査することでもあり、把握した脅威アクティビティを分析することでもあり、インテリジェンスを公共と民間の間で、または金融セクター全体や政府機関同士の間で共有することでもあります。インテリジェンスの共有がされており、分析、調査、監視がなされていれば、それはつまり、優位に立っているということであり、資産の保護において、はるかに優れた態度をとっているということなのです。

Laith Alkhouri氏について

Intelonyx Intelligence Advisory 創業者兼 CEO。民間情報機関で15年の経験を持つ、国際的に認められたインテリジェンス・アドバイザー。ニューヨークを拠点とするリスク・インテリジェンス企業、Flashpoint社の共同創業者。現在は、UAEに拠点を置くインテリジェンスコンサルティング企業Intelonyx Intelligence Advisoryで政府及び民間のインテリジェンス推進に貢献。コメンテーターとしても、米国議会での証言やNBCニューステロ対策アナリスト、その他国際メディアへのコメントやセキュリティ会議の基調講演にも招かれるなど活躍している。