Forrester Researchの主席アナリストであるBrian Wrozek氏を招いて開かれたウェビナーの講演内容を特集しています。
脅威インテリジェンスにおいては、既に存在しながらも刻々と進化するサイバー脅威について、最も正確、的確なデータを持つことが、非常に重要です。アクショナブルな脅威インテリジェンスによって、セキュリティのリーダーは、自組織が対象となる脆弱性を正確に見極め、防御を強化できるようになります。このような、焦点の明確なインテリジェンスのおかげで、セキュリティリソースの優先順位付けを適切に行うことが可能になります。
*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2023年10月19日付)を翻訳したものです。
したがって、2022年のForrester Security Surveyにおいて、脅威インテリジェンス能力の向上が戦術的なセキュリティ上の優先事項のトップ3に入っていることは、驚くに当たらないと、ForresterのBrian Wrozek氏は言います。Wrozek氏には、直近のSilobreakerのウェビナーでゲストスピーカーとしてご登壇頂きました。
では、脅威インテリジェンスを用いて運用的、戦略的なレベルで対処した方が良い脅威に関しては、どうでしょう?また、戦術的なインテリジェンスと、組織のより広い戦略的姿勢を、アクショナブルな方法で関連付けるには、どうすれば良いのでしょうか?
今回のブログでは、これらの問いについて、ウェビナーの講演内容を深掘りしながら考えていきます。ウェビナーでは、アクショナブルな脅威インテリジェンスを用いながら組織全体でリスクの優先順位付けと対処を行う方法が話題となりました。
アクショナブルなインテリジェンスとは?その仕組み
アクショナブルなインテリジェンスとは、脅威の発見と対処や、防御の強化、セキュリティリスクの効果的な緩和のための、現実的なステップを踏む能力をセキュリティチームに与える、具体的で的確かつ時宜にかなった情報のことです。
アクショナブルな脅威インテリジェンスは、データの収集、分析、および、状況を踏まえた考察の組み合わせから産まれます。具体的な方法は様々ですが、通常は、オープンソース、ディープ・アンド・ダークウェブソース、テクニカルフィードなどの幅広い情報源から収集されます。また、内部のデータソースと統合されることもあります。ネットワークログ、ファイアウォールデータ、脅威フィードがその例です。
このインテリジェンスは、組織に特有の優先的インテリジェンス要件に合わせて作られます。脅威の性質、その潜在的影響、対応方法に関するガイダンスといった知見を提供してくれます。こうした知見は、セキュリティチームによるリアルタイムの脅威検知、防止、対応を可能にし、継続的な防御活動と、十分な情報に基づく意思決定を支えます。
リスク、脆弱性、脅威の優先順位をいかに見極めるか
ウェビナーでのWrozek氏の発表によると、脅威は日々絶えず発生しており、CISOは、より良い決断をするのに役立つ情報を求めています。組織に必要なのは、決め手となるアクションを取れることであり、そこで、脅威インテリジェンスが最も価値を発揮します。
サイバーリスクの優先順位付けに関して言えば、脅威インテリジェンスには、活用のされ方の異なる様々なタイプのものが存在し、その中に戦略、運用、戦術の各インテリジェンスがあります。これは、Forresterが最近発表した、脅威インテリジェンスのベストプラクティスに関するレポートに書かれています。
ウェビナーでのWrozek氏の発表によると、戦略脅威インテリジェンスはハイレベルであり、情報の受け手は通常、CISOやその他の企業幹部です。完成された報告書という形を取り、脅威に関する巨視的、長期的な見解を提示します。運用脅威インテリジェンスは、自社のセキュリティチームが日々行うセキュリティオペレーションに関係します。戦術脅威インテリジェンスは、セキュリティオペレーションセンターによる脅威の検知と対応の取り組みに直ちに影響を及ぼす、具体的なIoCs(Indicators of Compromise)やTTPs(戦術、技術、手順)に重点を置きます。
以上の違いを理解しておくと、リスクの優先順位を見極めたり、脅威インテリジェンスをより有効に活用したりするのに、役に立つことがあります。
リスクベースの意思決定の具体例
戦術脅威インテリジェンス
まずは、戦術面のサイバー脅威インテリジェンスです。これには、アクショナブルなサイバーインテリジェンスの収集、分析、配布が伴います。1つ目の具体例は、パッチ展開のエスカレーションです。
Forresterによると、日々、新たな脆弱性がリリースされ、大規模な環境や世界に分散した環境を管理するセキュリティ専門職にとって悩みの種となっています。深刻度の高い脆弱性全てに対し、30日以内にパッチを当てようとしても、困難な場合があります。脅威インテリジェンスにより、セキュリティチームはより選択的な手法を取れるようになります。盛んに悪用される脆弱性や、自社の業界を標的とする脅威アクターに狙われる脆弱性を特定する手助けをするのです。この取捨選択により、優先順位の明確なパッチ展開戦略と、限られた時間とリソースのさらなる有効活用が可能になります。
もう1つ、戦術インテリジェンスで一般的な活用例は、悪性ドメインのテイクダウンです。例えば、脅威アクターが「Forester」(「r」が1文字)のような紛らわしいWebサイトを作成し、従業員や顧客にソーシャルエンジニアリングを行おうとする場面では、脅威インテリジェンスを使うことで、迅速に検知して、このような不正なサイトのテイクダウンを容易に行うことができます。
Forresterの調査によると、以上のプロアクティブな手法は、こうした攻撃に絡む潜在的リスクと影響を最小限に抑えるのに役立ちます。さらに、このようなテイクダウンサービスは、ドメイン以外をも対象とします。そのため、他の紛らわしい要素、例えば、なりすましソーシャルメディアプロファイルや、アプリストアで正式な企業アプリを装う悪性の携帯アプリなどにも利用できます。戦術脅威インテリジェンスの活用は、最も重大なリスクに即座に対処するための決断を導くことに繋がるほか、企業と顧客の双方を素早く保護するという特筆すべき付加価値を持ちます。
運用脅威インテリジェンス
Forresterによると、運用脅威インテリジェンスの活用例という観点で言うなら、このタイプの脅威インテリジェンスは、アクショナブルなインテリジェンスの収集分析と活用を伴う点は同じであるものの、継続的な防御オペレーションを支える作りになっているとのことです。また、サイバーセキュリティ・インフラストラクチャ全体に関わる意思決定プロセスを支えます。
この点は、戦術インテリジェンスとは異なります。というのも運用インテリジェンスは、特定の脅威アクターグループについて、はるかに包括的な知見を提示し、グループの動機、能力、意図を浮き彫りにするからです。運用インテリジェンスは、脅威ハンティング、すなわち、特定の脅威アクターグループのTTPを捉え、その情報を利用して、その脅威アクターないしは有害ソフトウェアの痕跡を自組織の環境内に見つけることを、可能にします。
運用インテリジェンスは、活用するための労力とプロアクティブさを一層求められます。また、顧客やサードパーティのリスクを管理するのに用いられることが増えています。戦略的パートナーやベンダーにセキュリティ上の問題が見つかった場合、その脅威インテリジェンスを共有することで、協力して当該リスクを緩和できるようになります。これは、当該プロバイダーを通り抜けて自組織の環境に侵入する潜在的な攻撃から、自組織を保護することにも繋がります。
このタイプのインテリジェンスにより、組織は潜在的な影響や脅威が発生する見込みに基づき、より適切な優先順位で労力を配分できるようになります。
戦略脅威インテリジェンス
Forresterによれば、戦略脅威インテリジェンスは、長い目で見たリスク、組織が直面する総合的な脅威とリスクに、一層重点を置きます。この中には、脅威ランドスケープがどう変化しているかや、各脅威アクターの能力と意図が何であるかが含まれます。
例えば、医療部門を狙ったランサムウェア攻撃が顕著に増加している場合、医療部門のCISOは、データが被害を受けても確実に復旧できるようにするため、バックアップシステムのアップグレードを検討する必要があるかもしれません。これにより、データへの損害と稼働停止時間を最小限に抑え、医療の継続を確実にするのです。このほか、より積極的なインシデント対応プレイブックを策定する必要もあるかもしれません。
同じように、ランサムウェア攻撃が特定の地域を標的している場合には、当該地域への事業拡大を検討している企業にとって、そのリスクを理解することが欠かせません。M&Aという観点から、懸念すべき国家型ハッカーがいるかや、それが買収にどう影響しそうかを理解するのです。
地政学的リスクによって、事業拡大計画を進めたい幹部の意向は変わらないかもしれませんが、幹部はセキュリティ技術への投資を増やす方向に動くかもしれません。これが特に重要になるのは、施設の建設を検討している地域のリスクプロファイルが、過去の立地と比べて高い場合です。
アクショナブルな脅威インテリジェンスのためのソリューション
Wrozek氏の発表から読み取れるのは、脅威インテリジェンスが戦略、運用、戦術のどれであろうと、アクショナブルなインテリジェンスは、事業上の意思決定を長期、短期の両面で大幅に強化することができる、ということです。適切なインテリジェンスを持っておくことで、組織は確信を持って、優先順位とリソース配分を、変化する脅威ランドスケープにより即した形に調整できるのです。
しかし、インテリジェンスチームが手作業で収集、処理、分析を大掛かりに行うのに必要な時間とリソースは、アクショナブルなインテリジェンスを作り出す上での大きな障害となっています。
Silobreakerは、貴社のあらゆるインテリジェンスデータを収集・連係し、分析スピードを高め、レポーティングとコミュニケーションを単一のワークフローにまとめます。これにより、時間を節約し、ROIを高め、リスクをより素早く軽減します。Silobreakerはまず、有効な優先的インテリジェンス要件(PIR)を見つける支援を行ってから、どこよりも網羅的なオープンソース、ディープ・アンド・ダークウェブ、フィニッシュドインテリジェンスの情報源を、自動で選択、収集、集約します。
Silobreaker Relevance Engineは、偽陽性を排除しつつ、貴社の技術を狙う脅威アクターとTTPの間の関係を明らかにします。Silobreakerを活用することで企業は、効果的にリスクの優先順位付けを行ったり、十分な情報に基づいて決断したり、進化する脅威からデジタル資産をプロアクティブに防御したりするための能力を高めることが可能です。
詳しくはこちら(Silobreaker公式サイト)をご覧ください。本文中で言及したウェビナーは、こちらのページにてオンデマンド配信しております。
Silobreakerについて
Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。
以下の画像は、Silobreakerの操作画面(ダッシュボード)です。このダッシュボードを使って「重大かつ悪用可能なCVE」に関するトレンドを追跡することが可能です。
日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。
資料請求やデモの申込については、以下のフォームからお気軽にお問い合わせください。
関連記事
サイバー脅威インテリジェンスの要件定義ガイド、無料配布中!
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
Writer
一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳に携わる。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。