SANS調査、脅威インテリジェンスが定着しつつあることを示す | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > SANS調査、脅威インテリジェンスが定着しつつあることを示す

脅威インテリジェンス

SANS調査、脅威インテリジェンスが定着しつつあることを示す

Tamura

Tamura

2023.08.23

 

サイバー脅威インテリジェンス(CTI)という分野は昨年著しく成熟し、さまざまな業界の組織が、CTIを取り入れながらセキュリティ業務全体を支えるようになったと、最近発表された「SANS 2023 CTI Survey」が報告しています。地政学的な出来事、特にロシア・ウクライナ戦争は、CTIを業務要件の中心として捉えるべき、との自覚を組織に抱かせる上で、非常に大きな役割を果たしています。

この調査は、Silobreakerなどの協力の元、金融サービス、銀行・保険、政府・テックなど25の業界から選ばれた、CTI関連のサイバーセキュリティ業務を担う984人の回答を評価しています。

こうした組織にCTIが浸透し始めている事実をはっきりと示す証拠がある中、調査報告書からは、改善できる領域も浮き彫りとなっています。今回のブログは、最新のSANS 2023 CTI Surveyの主な調査結果を分かりやすく解説し、CTIの現状を示した上で、CTIチームが重要な業務を行うための支援を一層充実させるために何ができるかを考えていきます。

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2023年7月28日付)を翻訳したものです。

CTIの認知度が高まる

心強いことに、調査結果によれば、CTIの要件戦略的に考える企業や政府関連組織の数が、上昇傾向にあります。脅威インテリジェンスのニーズを明確に定義したと回答したのは59%で、2022年調査の35%から増加しています。

ニーズに目を向けることは必須です。自らの組織のCTIニーズを真剣に考えないことには、対応せねばならない現実のリスクを映し出さないインテリジェンスを収集、分析することになりかねません。CTIの要件を定義することは、インテリジェンスサイクルの「計画・方向性」フェーズにおいて欠かせません。ここに目を向けないと、組織は方向性を見失い、進化する潜在的な脅威に対処できなくなる恐れがあります。

もう1つ頼もしいことに、CTIの要件はない、または取り入れる計画はないと答えた人は、2022年の11%から減少し、2023年にはわずか3%となりました。

回答者の半数がCTIプログラムの有効性を計測しており、87%は、CTIがセキュリティの予防、検知、対処を改善する上で役に立ったと報告しています。

プログラムの有効性を追跡するCTIチームにおいて、最もよく使われた計測手段は、CTIに基づいて取られたアクションの自動追跡(1位)、手動追跡(2位)です。また、アラートやインシデントへの対処に要する時間を計算して、効果の物差しとするとの回答も多数ありました。ここから、CTIは全てのインシデントを完璧に予防するとは限らないものの、問題への対処にかかる時間を削減する上で、重要な役割を果たし得るということが読み取れます。

外部のニュースとオープンソースが意思決定の原動力に

また調査により、CTIチームが分析に用いる情報ソースが多様であることも分かり、どのデータセットが組織の意思決定に最も影響を与えるかが明らかになりました。外部の情報ソース、例えばニュースやメディア報道は最も人気で、69%のCTIチームが業務で使用しています。オープンソースフィードは60%で、回答者の約半数(51%)は内部の情報ソース、例えばインシデントレスポンスやフォレンジック関連のデータを挙げています。

CTIチームの時間の過ごし方を見ると、60%超が時間の半分以上を、他の組織によるオープンソースの報告に対応するのに費やしていると回答しています。こうした報告には、リサーチレポートやサイバーセキュリティニュースのような情報ソースが含まれます。

このように、オープンソースの報告や、それを受けて生じる膨大な問いに対処する必要性が重視されていることから、CTIという分野が、ベストプラクティスとプロセスの強化によって利益を享受し得ることが読み取れます。これは、特に偽情報に関するリスクにおいて言えることです。

CTIチームが情報ソースをめぐって行う選択は重要です。インテリジェンスの質は情報ソースごとに大きく異なることがある一方で、少ない情報ソースに依存しすぎると盲点が生じる恐れがあります。例えば、侵入データを含む内部の情報ソースからは、おそらく、組織を狙う脅威アクターに関する非常に具体的な知見が得られるでしょう。この情報がニュース報道やソーシャルメディアフォーラムに現れることは、まずありません。

この新たな調査結果から、CTIチームは視野を広げ、もっと多様な情報ソースを判断材料として検討すれば、何かしら恩恵を得られるかもしれない、ということが読み取れます。

CTIのツールとリソース

CTIの効果に目を向ける組織が増える一方で、業務を満足に実行する上での障害が少なくないことを読み取れる回答があったことも事実です。約半数(44%)が、技能とトレーニングが不足していると答えたほか、予算に関する質問では、39%が、CTIプログラムに十分な予算を与えられていないと回答しました。こうした反応を見る限り、CTIチームが上級管理職の賛同を得て、業務の価値を認めてもらうためにできることは、まだありそうです。

さらに、回答者の42%は、自動ツールの不足が障害になっていると答えました。ツールに関しては、59%がSIEM(Security Information and Event Management)ソリューション、または、その他のセキュリティ分析プラットフォームを使い、CTIチームの48%が脅威インテリジェンスプラットフォーム(TIP)を使用しています。

過去の調査でもそうでしたが、スプレッドシートは、依然としてCTIチームに最もよく使われているツールです。CTI専用ツールがある中、71%が情報の整理に使用しています。

地政学的不安がCTIの導入促す

ロシアが2022年2月にウクライナを侵攻したことの影響が世界中に波及していることから、侵攻によって組織がCTI戦略の見直しを迫られたことは、まず間違いなさそうです。実際、回答者の71%が、地政学的な情勢がインテリジェンス要件を決定する上で「非常に重要」または「ある程度重要」になったと答えました

これは無理もない反応です。戦場での衝突が、サイバー戦争にますます影響を与えるようになると同時に、ロシアの国家支援型攻撃は急増し、ますます巧妙となってきています。このように、物理的脅威とサイバー脅威との境界が曖昧になっているからこそ、CTIチームは、できるだけ多くの種類のインテリジェンスソースを検討する必要があります。物理、サイバー、地政学の各インテリジェンスを相互に組み合わせることでしか、地政学的出来事のような急速に展開する出来事に伴うあらゆるリスクを、正確に評価することはできません。

SilobreakerはCTI要件にどう応えるか

Silobreakerは、インテリジェンスサイクルの全てのステージで、CTIチームをサポートします。Silobreakerは、単一、自動、情報ソース不問のプラットフォームのため、サイバー、物理、地政学に関する優先的インテリジェンス要件(PIR)を、1か所で管理いただけます。オープンソース(や、ディープ・アンド・ダークウェブ、フィニッシュド・インテリジェンスソース)の構造化データと非構造化データを自動で収集・処理するため、リソースの限られた組織や、小規模なインテリジェンスチームであっても、できる限り広い範囲にインテリジェンスの網を張り巡らし、集めた貴重な情報の比較・分析を、たった1つのダッシュボード上で行うことが可能になります。

この能力は、管理職の賛同を得たい局面で重要となります。Silobreakerがあれば、情報提供の相手に適したレポートやアラートを簡単に作成・配布できます。このようなレポートやアラートは、管理チームや他の利害関係者に事業のリスクを分かりやすく提示し、意思決定プロセスを加速します。そうすることで、CTIチームの業務の価値も明らかになります。Silobreakerがどのように貴社のCTIニーズに応えるのか、ご興味のある方は、弊社サイトの「Cyber Threat Intelligence」のページをご覧ください。

報告書全文をお読みになりたい方は、「SANS 2023 CTI Survey: Keeping up with a changing threat landscape」ダウンロードページへ。

Silobreakerについて

Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。

以下の画像は、Silobreakerの操作画面(ダッシュボード)です。このダッシュボードを使って「重大かつ悪用可能なCVE」に関するトレンドを追跡することが可能です。

資料請求は、以下のリンクにて承っております。

Writer

Andy GraylandSilobreaker社 CISO

著者

Tamura株式会社マキナレコード インテリジェンスアナリスト・翻訳者

訳者

一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳に携わる。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ