成熟したSOC(Security Operations Centres)を持つ大きな組織にとって、サイバー脅威インテリジェンス(CTI)は、サイバーセキュリティ戦略の基本であることが多いです。しかし、SOCアナリストは既にCTIを必須要素と考えているかもしれませんが、それと同じくらい重要なのは、CISOやその他の上級幹部が、CTIの未開拓のポテンシャルを一層深く理解、発見することです。
Silobreakerは、先日のDark Readingとのウェビナーで、企業セキュリティにおける脅威インテリジェンスの重要性について論じました。本ブログでは、CISOと最高幹部がCTIを戦略的に活用して自社を守るには、どうすれば良いかについて、さらに深掘りします。
*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2023年11月24日付)を翻訳したものです。
脅威インテリジェンスが組織全体で果たす役割
脅威インテリジェンスが企業にどう恩恵をもたらすかを考える際、CTIが組織において、戦術、運用、戦略という、3つの異なるレベルで機能するという点を、理解することが大切です。
戦術レベルの脅威インテリジェンスには、非常に構造化されたデータ、例えば、IPアドレス、ハッシュ値、IOC(Indicators of Compromise)が含まれます。このレベルは、非常に技術的であるため、主にSOCアナリストやITセキュリティシステムの管理者、インシデントレスポンスチームに用いられます。
運用レベルのCTIは、戦術レベルの構造化された技術的データで構成されると同時に、非構造化データを、より多く含むようになります。技術チームのマネージャーやCISOは、運用レベルのCTIを用いながら、1週間のセキュリティ上の優先事項を決め、潜在的脅威から防衛するためにチームを配備します。
戦略レベルのCTIは、具体的な技術的情報ではなく、より広いトレンドや脅威に照準を絞ることで、上級幹部が企業の目標を達成するための支援をします。CISO、CIO、CTO、CEO、取締役といった幹部や、主要な株主は、このレベルの情報に関心を持っています。
CISOと最高幹部は、CTIをどう活用できるのか
脅威インテリジェンスは、上級幹部による事業目標の実現に、数えきれないほど様々な形で貢献します。しかし、最高幹部によるCTIの活用方法の、2つの主要な例として、「1.戦略上および経営上の計画を立てるため」と「2.情報サイクルで先頭に立つため」があります。
戦略上および経営上の計画を立てる
従来型のインテリジェンスは、縦割りの中で生産されます。サイバー脅威インテリジェンスと地政学的リスクのインテリジェンスは、通常、物理的セキュリティのインテリジェンスとは別に収集、処理されるのです。しかし、現代の脅威アクターは多くの場合、サイバー領域に留まらない手段と動機を持っています。このため、自社のサイバー脅威インテリジェンスが、上記全ての要素を総体として見渡せるものであることが、極めて重要です。
戦略上および経営上の計画を立てるという状況では、新たなトレンドと地政学的問題を調べることが、潜在的脅威を理解する上で欠かせません。脅威アクターがなぜ自社やそのサプライチェーンを攻撃するか、それをどのように行うかを知ることで、CISOは自らの時間とリソースを、より効果的に投下できるようになります。
例えば、インテリジェンスから、DDoS攻撃が新たな脅威の中でトレンドになっていることが分かるかもしれません。しかし、こうした情勢なら、主流の全国区ニュースを通じて既に認識しているかもしれません。CTIによって、より詳細な情報を得て、盛んに報じられる具体的なグループ(Anonymous Sudan、Clop、Killnetなど)を特定できるようになります。すると、より詳しい調査を行い、そうしたグループが自社の業界や組織に影響を与えそうかどうかを知ることができます。
Anonymous Sudanに関して言えば、そのロシアとの関係を踏まえると、この脅威の地政学的な側面を考えることが必須かもしれません。例えば、このロシアに支援されたハッキンググループが、なぜサービス拒否攻撃を行っているのかや、グループの標的は誰なのかです。もしCTIから、EUの銀行とNATO諸国の重要インフラが主な標的であると分かれば、これらの部門の組織は、DDoSの脅威を優先し、直ちに行動をとる必要があるかもしれません。
上記以外の部門の組織においても、事業継続計画を見直すとともに、取引先銀行や重要サービス提供元に対する妨害に、十分耐えられるようにするための措置を整えることが、必要かもしれません。
オープンソース・インテリジェンス(OSINT)は、こうした戦略上および経営上の考慮事項の参考となります。また、潜在的脅威を年間を通して継続的に監視・分析することで、上級幹部は、サイバーセキュリティとリスクマネジメントへの最大の打撃に備え、より適切にリソースを配分できるようになります。
情報サイクルの先頭に立つ
CISOにとって、思いがけずCEOと廊下で出くわし、自分の情報網に引っかかっていない脅威について話し合う時ほど緊張する状況は、そうそうありません。
往々にして、知らない情報のタイプは、サプライヤーへの攻撃や、組織に影響を与えかねない重大な脆弱性であったり、もっとひどい場合には、両者の組み合わせであったりします。自社のサプライヤーの中に、重大な脆弱性の影響を受けたり、攻撃を受けたりしているところがあるかを、ほぼリアルタイムで知ることは極めて重要です。
広大な情報の海を渡りつつ、最新のトレンドを掴み、誰よりも早く知るには、大変な努力と決心が必要です。しかしCTIは、情報サイクルの先頭に立ち、新たな脅威に先回りして対処する力を、上級幹部に与えることができます。
2023年6月にあった、次のシナリオを考えてみましょう。 MoveITに重大な脆弱性が見つかりました。一見単純な疑問が湧いてきます。自社はMoveITを使っているのでしょうか?読者の皆さんは、この疑問に明確に答えられるかもしれませんが、もっと広い影響と不確定要素が存在します。例えば、MoveITへの攻撃の影響を、自社のサプライヤーは受けているのでしょうか。
Silobreakerのような脅威インテリジェンスプラットフォームがあれば、MoveITに対する世の中の反応に適したダッシュボードを設定することができます。検索基準をさらに絞って、自社のベンダーやサプライヤーに関係するデータだけを抽出することが可能です。この脅威の変動しやすい性質を考慮すると、状況の変化を察知するアラートを設定することがお勧めです。この先回りしたアプローチにより、CISOは、より戦略的なタスクに集中できるようになり、新たな展開を察知するために繰り返し検索結果を見直さなくても良くなります。
CTIと最高幹部
常に最先端の情報を掴むことは絶え間ない試練ではありますが、そうすることで、自信が少しずつ身につくだけでなく、新たな脅威を処理する上級幹部の能力への信頼が育まれます。企業に迫り来るリスクに関するアクショナブルなインテリジェンスによって、最高幹部は、戦略的な意思決定と先回りの防衛姿勢に欠かせない情報を手に入れます。
また、脅威インテリジェンスの効果は、単なる脅威の認知と対処だけに留まりません。脅威インテリジェンスは、稼働停止時間を最小限に抑え、慎重に扱うべきデータを守り、ブランドに対する評価を守ることを通じて、事業目標に貢献するのです。
現代のサイバー脅威に衰える様子はありません。しかしCTIは、CISOと最高幹部がセキュリティ戦略の方向性を定め、そうした脅威に対する先回りした堅牢な防御を固めるための、強力なツールとなり得ます。
Silobreakerについて
Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。
以下の画像は、Silobreakerの操作画面(ダッシュボード)です。このダッシュボードを使って「重大かつ悪用可能なCVE」に関するトレンドを追跡することが可能です。
日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。
資料請求やデモの申込については、以下のフォームからお気軽にお問い合わせください。
関連記事
Writer
一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳に携わる。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。