サイバー脅威インテリジェンス要件の進化とチームの課題 | Codebook | Machina Record Blog
Codebook|Security News > Articles > 脅威インテリジェンス > サイバー脅威インテリジェンス要件の進化とチームの課題

脅威インテリジェンス

Cyber Intelligence

Intelligence

OSINT

サイバー脅威インテリジェンス要件の進化とチームの課題

サイトウアヤ

サイトウアヤ

2021.07.29

 

サイバー脅威インテリジェンス要件の進化とチームの課題

*2021年5月に開催した「Cyber Intelligence Summit 2021」に登壇されたSilobreaker CEO兼共同設立者 Kristofer Mansson氏の講演「サイバー脅威インテリジェンス要件の進化とチームの課題」の邦訳・一部抜粋記事です。

関連記事:脅威インテリジェンスとは何か? その種類と重要性

サイバー脅威インテリジェンス要件の進化とチームの課題

サイバー脅威インテリジェンス要件の進化と発展は、Silobreakerが世界最大規模の銀行や企業とともに業務を行なってきた中で、直に観測してきたものです。そして、私たちは、戦術的な脅威インテリジェンスの使用がますます自動化されつつある一方で、新たなPIR(優先的インテリジェンス要件)が、サイバー、物理的なセキュリティ、そして地政学の間を行き来するように進化しているということを発見しました。これは、より多くのステークホルダーが関与するようになっているということを意味しており、その結果、サイバー脅威インテリジェンスチームによる成果物に対する期待は、より広範で多岐に渡るものとなっています。

 

インテリジェンス・サイクル

 

まず基本的な部分から始めましょう。インテリジェンス・サイクルという概念は、非常に長い間存在し続けています。「インテリジェンス・サイクル」という言葉が当時使われていたことを示す、第二次世界大戦末期の75年前にさかのぼる文献が存在しますが、おそらくこの言葉はそれ以前から使われていたのでしょう。そして、このサイクルにはいくつかのバリエーションがありますが、そのほとんどがここで紹介するメインステップに従っています。ステークホルダーが要件を設定して方向性を示すと、データが収集されて処理され、処理されたデータが分析されて解釈され、そこから分析結果が得られ、インテリジェンスが作成され、これが再度ステークホルダーに共有されて、ステークホルダーはそのインテリジェンスに基づいて行動を起こし、その結果に基づいて計画を修正し、新たな要件を設定して新しい方向性を与えます。そして、新たにこのサイクルを繰り返すのです。

インテリジェンス・サイクルの基礎は昔から存在していますが、変化してきたものは、つまり変化し続けているプロセスというのは、各ステップやサイクルの行われ方や、また、プロセスの一部を自動化し、他の部分の人間のパフォーマンスをサポートするために使用されているテクノロジーです。

データの収集

今日におけるデータ収集は大きな課題です。なぜなら、あまりにも多くのデータが存在するからです。そもそもどこから始めればいいのでしょうか?IDCによると、世界で作成され、キャプチャされ、コピーされ、消費されるデータの量は、2010年から2020年の間に約5,000%増加しました。さらに、2024年までは毎年26%ずつこの成長が続くことが予測されています。かつてはデータにアクセスできることがインテリジェンス目的では有利でしたが、今はそうではありません。私たちは皆、データのなかで溺れており、すべてを所有することは不可能なのであると同時に無意味です。データの収集や集積よりも、データの選択が重要になってきています。そして、データをただ所有しているだけではなく、そのデータを使って何ができるかが重要なのです。

4つのデータグループ

サイバー脅威インテリジェンス(CTI)の目的のために、データは主に4つのソースグループから収集されます。

オープンソースデータ

自由にかつ誰もが利用できるあらゆるデータのことで、ニュース、ブログ、フィード、ソーシャルメディア、リサーチのプレスリリース、フォーラム、有料サイト、リポジトリサイトなどがあります。OSINT(Open Source Intelligence)は、インテリジェンスの一分野として、主にこのグループに依存しています。これは、収集と選択の両面で、ほとんどの顧客が苦労しているソースグループでもあります。また、特に構造化されていないデータに関しては、私たちはその文脈を整えて意味を持たせる方法を模索してきました。

関連記事:OSINTとは? 活用方法、ツール、注意すべき点

アンダーグラウンドのデータ

そこに辿り着くことができれば通常は無料です。これは、ディープ&ダークウェブ上のフォーラム、マーケットプレイス、チャットサービス、ブログなどのデータです。収集はある程度自動化することができますが、入手自体が最も困難で、おそらくインテリジェンスの目的で最も価値のあるデータを入手するには、潜入とトレードクラフトが必要です。

関連記事:

ダークウェブとは?何が行われている?仕組みから最新動向まで

Telegramがオープンソース調査に必要不可欠な理由

プレミアムデータ

プレミアムデータとは、CTIを目的とした膨大なデータプールであり、スレッドフィード、スレッドリサーチ、そしてその他の作成されたか、キュレーションされたか、もしくは収集されたデータが含まれ、報奨金が付随します。

内部データ

内部データとはもちろん、ある組織が作成し、その後提供されたあるいは購入されたあらゆるデータのことです。

 

CTIチームは普通、これら全てのメインソースグループから得るデータを使用することになりますが、データの収集と回収については主にベンダーやサービスに頼ります。覚えておくべき重要な点は、データ=インテリジェンスではないということです。データとは精製が必要な生の原料であり、そこからインテリジェンスが抽出されるのです。

データの処理

データの処理はインテリジェンス・サイクルの中でも最も技術的に労力のかかるステップであり、ここで私たちはおそらく過去数十年間にその革新のほとんどを目にしてきました。また、このステップはたくさんの専門的な用語やキャッチフレーズが散見される領域でもあります。検討しているテクノロジーあるいは製品に応じて、おそらく私たちは常に、機械学習、AI、ディープラーニング、ニューラルネットワーク、テキストマイニング、エンティティ抽出、自然言語処理、パターン認識、言語検出、クラスタリングアルゴリズムなどといった用語を目にするでしょう。一部のケースでは、こういった用語はシンプルにバイヤーが関心を持つマーケティングの目的で使用されていますが、実際には機械学習アルゴリズムやその他のデータ処理・モデリング技術の利用が、手持ちのデータを処理し、解釈可能にし、意義を持たせる上で重要です。それが、大規模な組織にとっての今日の業界基準なのです。ここで失敗すると、サイクルの次のステップが苦しいものになります。

関連記事:Anomaliにできること 活用事例

 

データの分析・生産

大手インテリジェンス組織にとって、大抵は分析と生成のステップが、インテリジェンス・サイクル内でアナリストあるいはその他の人間のやりとりが関わる最初のステップです。データ収集、統合、そして処理は、その組織自体がデータの収集に関与しているのではない限り、今日では概して自動化されています。アナリストのバリューチェーンにおける位置は変わりつつあり、先行するステップでバックエンド処理されたデータの助けを得ながら、フロントエンド製品とUIツールおよび可視化を用いて研究・分析・解釈・コメントをし、最終的には、戦術に関するものであれ戦略に関するものであれ、ステークホルダーがその意思決定を裏付けるために必要とするインテリジェンスを作成するのです。

 

データの共有・配布

インテリジェンスは作成されるとまもなく配布されねばなりません。そしてその配布は多様な形態でなされ得ます。最も一般的には、時間的制約のあるインテリジェンスには、通知やアラートが用いられます。1日ごとの、あるいは定期的なアップデートには比較的短いレポートが、戦略レポートには長めの評価が、そしてより深い分析のためには、または完全に自動化されたプロセスに応じるためには、サードパーティ製品への自動的な配布が用いられます。

そしてここで、ステークホルダーの話をしておきましょう。地元あるいは地方のセキュリティマネージャーやビジネスマネージャーから経営幹部やボードメンバーに至るまで、組織の複数の階層の人々がステークホルダーになり得ます。そしてここが、そもそも要件や指示が生まれる場所なのです。また、ここはインテリジェンス・サイクルが次のサイクルに向かう前に自然に終了する場所でもあります。つまりこれが、インテリジェンスの作成・配布に関わるプロセスとワークフローなのです。

 

従来の縦割り型インテリジェンス・カテゴリー

ではここで、従来の外部インテリジェンス要件の主要カテゴリーと、組織がさらされている脅威ランドスケープの話に移りましょう。

サイバー

サイバーユースケースは、数多くのサブカテゴリーで構成されていますが、CTIチームにとっては馴染み深いものです。主要なものとして、ネットワーク侵入、脆弱性悪用、データ侵害、フィッシング攻撃、ランサムウェア、情報資産流出、そしてAPT活動などがあります。どのように、どこで、いつ、そしてなぜ自分たちが攻撃されていたのか、あるいはされる恐れがあるのかに関して脅威を理解することは明らかなに重要な要件ですが、加えて、影響、リスク、コスト、規制の変更、そして脅威アクターのTTPと決まったやり口についての分析も必要です。

物理的

物理的セキュリティも、古くからあるインテリジェンスカテゴリの一つです。これには、アクティビズム、犯罪/不安定性/社会不安、軍事衝突、テロリズム、パンデミックやその他の衛生関連の脅威、物流や配送ルートなどに関するサプライチェーンリスク、移動のリスクを含む経営管理陣や要人の暴露、自然災害、そして人的災害が関わっています。2020年と2021年の現時点までを振り返ってみると、もちろん最初に頭に浮かぶのはコロナウイルスの流行です。これは、個人、企業、あるいは政府が備えられていなかった、世界中の全ての人に甚大な影響を及ぼしている物理的脅威です。

COVID-19以外にも、物理的セキュリティ脅威の増加が見られています。気候変動などの環境問題、人種的不公平、選挙結果、権威主義、反ロックダウン、極右vs極左の対立、そしてその他の多様な政治的、社会的、社会経済的理由により、時には暴力を伴うアクティビズムや抗議活動、社会不安が見られるようになっています。これら全てが混乱を引き起こし、組織、その従業員、顧客、サプライヤーを脅威にさらしています。

戦略的&政治的

大規模な多国籍組織は、より戦略的でマクロなレベルのインテリジェンス要件を有すことになるでしょう。貿易戦争や経済制裁、あるいは軍事衝突につながる恐れのある地政学的変化や傾向、企業や地方に影響を与え得る規制の変更、マクロ経済の動向と拡張的な金融・財政政策による影響、パンデミックあるいは世界経済へのその他の衝撃に対する対策の不備、国際貿易と協定、ブレグジットのような協定の決定、新進テクノロジー、より大きな影響を上記全てに与えかねない政治や選挙の結果などが挙げられます。

 

紛れもなく、これら3つのカテゴリそれぞれが組織に重要なインテリジェンスをもたらしています。そして従来、これらは区別され、異なるチームと部門によって対処されてきました。しかしこの縦割りのアプローチはより分野横断的なモデルの登場に取って代わられつつあります。

 

分野横断的なインテリジェンス

このモデルは、新たな要件を満たす必要性から進化してきたものなのです。物理世界とデジタル世界の相互作用がますます増えている中、従来的なセキュリティ分野間の境界線はますます曖昧になっています。なぜなら、もはや一つの脅威を他から切り離して見ることなどできないからです。

例えば、コロナウイルスは物理的脅威として始まりましたが、ソーシャル・エンジニアリングキャンペーンやフィッシングメールが人々の不安や情報不足をダシにするCOVID関連のメッセージで埋め尽くされてしまうまでに、それほど長くはかかりませんでした。また、今日のアクティビズムは政治的な意味合いを持つだけでなく、物理的活動およびサイバー関連の活動を伴っています。地政学的な分析は、国家支援型のAPT活動の評価なくしてはできません。選挙はネット上の心理戦や、一部のケースでは投票所での物理的な脅迫の試み、そして政治的な立場を取っている企業、あるいは取っていると認識されている企業に対する直接的なキャンペーンに影響を受けています。

このように、政治や経済の分野で意見が二極化し、それがセキュリティインテリジェンスに直接関連していますが、全てに共通する脅威は、データ、ニュース、情報の作成・配信が、ますます分散型、非集中型のモデルに基づいて行われるようになっていることです。

2016年および2020年の米国大統領選挙に立ち返ってみても、リスクや治療、マスク、ロックダウン、ワクチン接種についての意見という意味でのCOVIDパンデミックを思い返してみても、ニュースデータの影響と普及のスピード、情報の武器化、使用されている配信モデルは信じ難い状態であり、懸念されます。大手メディアは依然としてかなり直線的に、古いやり方で自らのバージョンの事実を報道しています。情報戦目的の「サービスとしてのDDoS(分散型サービス拒否)」に相当するものとなったのは、ソーシャルメディアプラットフォームなのです。

 

インテリジェンスチームの課題・要件

サイバーイベントと結びついた物理的なセキュリティイベントは、上記のような展開によって引き起こされ、増幅されるのです。インテリジェンスチームには、監視、分析、報告が求められます。ステークホルダーは、従業員、顧客、そして組織全体を守るために、インテリジェンスを活用するための決断を下す必要があります。組織はインテリジェンスチームの仕事にますます依存するようになり、新しいステークホルダーが関与するようになると、その任務は拡大しています。

しかし私たちはが目の当たりにしているのは、インテリジェンスチーム間の壁が取り払われつつあるという現状です。スキルセット、能力、経験は共有され、活用されています。そして、インテリジェンス運用にまたがる要件は、技術的・戦術的なものから、戦略的・分野横断的なものまで多岐にわたっています。

ここでインテリジェンス・サイクルに立ち戻り、これらの要件カテゴリーを加えてみると、今日の最先端インテリジェンス運用がどう機能しているかがわかりやすくなってきます。もちろん実際には、単一のサイクルが全ての要件をカバーするわけではありません。数多くのサイクルが並行して動いているのです。そして、ネットワーク侵入に関わる脅威インテリジェンスのような一部のユースケースでは、このプロセスがほぼ完全に自動化されています。

また、この分野横断的なアプローチは、新たな、そして相互に結びついたインテリジェンス要件に対処・対応することができるよう、サイクル内の各ステップに影響を及ぼします。特に影響を受けるのはデータ収集と、データ処理に用いられるテクノロジーです。正しいデータと、適切な分量のデータを所有することが出発点です。しかしまた、それをデータポイントのレベルにまで落とし込むことができる必要がありますし、そういった各データポイントがどう検出され、そしてそのデータポイントの他のデータポイントに対する関係性がどのように検出されて前面に押し出され得るのかを理解しなければなりません。データセット全体にまたがるあらゆるものを照会する能力、あるいは単にその粒度だけでなく、サイバーインテリジェンス、物理的インテリジェンス、戦略的インテリジェンスの各ユースケースの間を素早く移動する能力が求められるのです。

 

Silobreakerについて

Silobreakerは、世界中の数多くのインテリジェンスチームによって利用されているソフトウェアを構築しています。データ収集や処理を行う上でバックエンドが必要とするものをカバーするテクノロジープラットフォームを構築すること、そして分析インテリジェンスの生産と分配のためのワークフローを支援する製品を提供します。

これらの各ステップの背後にはたくさんのベンダーが存在しますが、私たちは全てのステップを一つのテクノロジーに統合し、データ収集からインテリジェンスの配布までをくまなく提供します。Silobreakerは18言語の、約100万のオープンソースから、業界内のほぼ全てのトピックについてデータを収集し、提携している多くのプレミアムプロバイダーのデータや、顧客から組織内での使用のみを目的に提供されたデータも統合しています。

 

 

関連記事:

インテリジェンスツール”Silobreaker”で見える世界

サイバー脅威インテリジェンスとは何か

サイバーインテリジェンスのスゝメ

 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ