効果的な「サイバー脅威の可視化とインテリジェンスのプログラム」に向けた第一歩

Published On : 2018-07-15
Share :
効果的な「サイバー脅威の可視化とインテリジェンスのプログラム」に向けた第一歩

AUTHOR

Kumar Ritesh

「インテリジェンスサービスが取りざたされてきていますよね。ただいくつか試してみましたが、いまひとつ効果が見えないので諦めました。」このサービスに取り組んで一年、国内企業への最初の訪問でこのようなコメントをいただくことは少なくありません。

インテリジェンスのサービス提供者としては、大変耳が痛い話です。

私たちもそのような評価にならないように、お客様のセキュリティ対策で実際にどのような効果をあげていただくか、「活用度の高いインテリジェンス」を目指して活動しています。

CEOのKumar Ritesh自身も、前職で某グローバル大手の採掘会社にてCISOの職に就いていた際、インテリジェンス活用においては非常に悩んでいたようです。彼は企業内でインテリジェンスが十分な効果を発揮するためには、その活用のための「プログラム」が重要だと言っています。

+++++++++++++++++++++++++++++++++

効果的な「サイバー脅威の可視化とインテリジェンスのプログラム」を構築するにあたり、WHO(誰が)、WHY(なぜ)、WHAT(何を)、WHEN(いつ)、HOW(どのように)という問いに対して、答えを準備する必要があります。まずは、この前提条件を理解しておくことは重要です。いま皆さんが適用している「サイバー脅威の可視化とインテリジェンスのプログラム」がこれらの問いに答えられない場合は、プログラム全体を再確認し、見直す必要があります。

WHO – あなたに興味を示す個人、ハッカー、グループが誰であり、バックグラウンドや過去の行動がどのようなものか。

WHY – あなたに興味を示すことになった動機(金銭的な利益、評判の失墜、生産性の損失など)が何であるか。

WHAT – 個人識別情報、顧客識別情報、および特許、知的財産権、資格情報などの機密データの中に何が含まれているか。

WHEN – いつ、ハッカーの準備が整い、あなたを標的にする可能性があるか。

HOW – あなたを標的にするとき、どのようなツール、技術、方法が使われる可能性があるか。

これらの問いへの最適な回答が得られるのであれば、インテリジェンスを人、プロセス、テクノロジーに対してより効果的かつ効率的に適用できるはずです。その結果、サイバー攻撃に対する適切な備えと自身の保護が可能になるでしょう。

以下に、「サイバー脅威の可視化とインテリジェンスのプログラム」に関する昨今の課題を示します。

  • 適用対象がテクノロジー、つまり、セキュリティ管理に限られる。人とプロセスは適用対象外である。
  • オペレーショナルインテリジェンス、戦術的インテリジェンスに関心が特に集中しており、IOA(脅威の兆候を示す情報)とIOC(攻撃の痕跡を示す情報)に関する議論が非常に多い。
  • 同じ情報を提供するデータフィードが複数存在する。
  • 脅威フィードにコンテキスト情報が存在しない。
  • インテリジェンスの更新頻度がハッカーのスピードに合っていない。
  • インテリジェンスの能力に、攻撃の対象領域とシナリオを含めることに重点が置かれていない。
  • ドメイン専門知識が不足している。

「サイバー脅威の可視化とインテリジェンスのプログラム」を成功させるには、3つのレベルのインテリジェンスが必要と考えています。それは、戦略的インテリジェンス、マネジメントインテリジェンス、戦術的インテリジェンスです。

戦略的インテリジェンスとマネジメントインテリジェンスは、少なくともWHO、WHY、WHAT、WHENに答えなければなりません。一方で、戦術的インテリジェンスはHOWの答えを示す必要があります。

戦略的インテリジェンスは、サイバーリスクの原因が脅威アクターや、脅威アクターのバックグラウンド、動機、ツール、手法にあると考え、サイバーリスクへの洞察を提供する必要があります。また、戦略、ガバナンス、ポリシーに対してサイバーインテリジェンスを適用可能にする必要があります。

マネジメントインテリジェンスは、脅威アクターのキャンペーン、攻撃メカニズムおよびツールに関する洞察を、内部プロセスへ実装可能にする必要があります。この内部プロセスは、インシデント管理プロセスや、変更、設定、リリース管理プロセスなどのことです。

オペレーショナルインテリジェンスと戦術的インテリジェンスは、悪意のあるIP、マルウェアのシグネチャとミューテックス、フィッシングドメイン、C&C(コマンドアンドコントロール)センターの情報を持つ必要があります。この情報を用いることで、SOC(セキュリティオペレーションセンター)はサイバー脅威に先回りして対応するとともに、日々の脅威の検出や検出後の処理をサポートし、企業のサイバー取り組み状況を改善させます。

以下に、効果的な「サイバー脅威の可視化インテリジェンスプログラム」に期待される3要素を示します。

予測可能性:潜在的なサイバーリスクに関して早期警告が可能であること。

適用性:戦略的、マネジメント、戦術的の3レベルすべてに適用可能であること。

正確性:インテリジェンスプログラムが、最新の標的に対応し、実行可能であること。

サイバーへの取り組みをマネジメントする上で、サイバー脅威の可視化インテリジェンスが全体の中心的な存在になろうとしています。今まさに、適切な「サイバー脅威の可視化インテリジェンスプログラム」を組織が採用すべき時なのです。

お問い合わせ