Self Assessment

脅威インテリジェンス活用の考え方 -1-

Published On : 2021-06-10
Share :
脅威インテリジェンス活用の考え方 -1-

脅威インテリジェンス活用の考え方 -1-

脅威インテリジェンスはセキュリティ製品とは違い、”導入して完了”というものではありません。

セキュリティ製品であれば、自動で脅威をブロックしたりアラートを上げてくれますが、脅威インテリジェンスはメールやレポートを受け取るだけでは価値を有効活用することはできません。もちろん、収集・分析までは脅威インテリジェンスベンダー側で実施していますが、活用するためには利用する側でも手を動かす必要があります。以前ご紹介したCTIフレームワークでも活用/提供までのステップが明記されています。

図:IJIRTSによるCTI Frameworkを基に弊社編集

 

今回は、利用する側は、どのような考え方で脅威インテリジェンスの活用/提供を進めていけばよいのか見ていきます。が、その前に、「脅威」というものを取り扱うにあたって以下の方程式について簡単に説明します。 

脅威×脆弱性=リスク 

この方程式はセキュリティリスクを考える上でよく見る方程式です。自組織の「リスク」を把握するうえで必要な要素が「脅威」と「脆弱性」になります。一言に脅威と言っても外部脅威には様々な要素があります。目に見える状態の脅威であれば比較的容易に対応可能ですが、地政学的な脅威や業界を取り巻く脅威、攻撃者の存在や攻撃手法など、残念ながら大きな被害をもたらす脅威は潜在的に存在しています。そして脆弱性ですが、脆弱性というとパッチ適用で解決する脆弱性を思い浮かべますが、ここでいう脆弱性はそれだけではありません。人もそうですし組織やプロセス、システムにおける侵害可能な欠陥なども含まれます。 

このように、脅威インテジェンスベンダーから提供される脅威情報と自組織の脆弱性を正しく認識することで、自組織のセキュリティリスクを把握することに繋がるということを念頭に置いておく必要があります。 

以上を踏まえたうえで、脅威インテリジェンスを活用するための流れを見てみましょう。 

0.自組織の脆弱性を認識する 

1. 脅威を認識する 

2.脅威を理解する 

3.脅威の影響、リスクを考える 

4.脅威の特定、影響度と優先度の決定、対策の検討 

5.活用・提供 

フェーズ0は、脅威インテリジェンスベンダーから情報提供できるものもありますが、脆弱性はシステムに関するもののみならず、人・組織・プロセスなども含まれるため、基本的には組織内部で実施する必要があります。 

フェーズ1および2は、主に脅威インテリジェンスベンダーの領域です。「認識」「理解」は利用する側で行うことですが、そのためのインプット情報は自分で収集するのではなく脅威インテリジェンスベンダーから得る必要があります。またここで入手する情報は、スキルを必要とする深い分析・読解を求めるようなものであるべきではありません。次のフェーズ3以降をスムーズに実行できるように整理された活用しやすい脅威インテリジェンスを利用してください。 

フェーズ3以降は組織内部で行っていく必要があります。これ以降のフェーズをしっかり進めるためには、自組織のビジネス環境やIT環境に対する理解やリスクシナリオの検証能力、判断能力、報告能力が求められますが、逆に前のフェーズで有益な脅威インテリジェンスを得られていれば、脅威インテリジェンスの収集/分析能力やセキュリティ技術に対する深い知見は左程重要な要素ではありません。 

このように、脅威インテリジェンスを活用するには、外部から情報を入手するだけではなく自組織でも実施すべきことがあります。潜在的な外部脅威を可視化することは脅威インテリジェンスベンダーに任せ、脅威インテリジェンスを活用する側では、得られた脅威情報と自組織の脆弱性からリスク、対応を考えていくことが必要です。 

今回は、脅威インテリジェンスを活用するうえでの考え方をご説明しました。次回以降それぞれのフェーズについて詳細にご説明していきたいと思います。 

CYFIRMAでは組織のセキュリティ戦略から戦術面まで活用できる、包括的な脅威インテリジェンスを提供しています。ご興味のある方は、どうぞお気軽にお問い合わせください。 

CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています!

✧毎週火曜日に発行「Weekly Security Update」

CYFIRMAが独自で毎週発行している「Weekly Security Update」のメールマガジンです。
その週にあった出来事をピックアップし、さらにサイファーマならではの情報も交えてご紹介しています。
ハッカーの会話をモニタリングしているからこそ、通常では得られない様な情報もいち早く手に入れる事ができますので、
ご興味のある方は下記よりお申込下さい。
※同業他社の方はお断りする場合がございます、ご了承下さい。

メルマガお申込

✧毎月定期開催「CYFIRMA ウェビナー」

脅威インテリジェンスとは何かという初歩的な内容から、MITRE ATT&CKフレームワークの活用方法、
毎月の脅威トレンド報告などなど、旬な話題を取り入れ、かつ弊社独自目線も取り入れた内容となっており、
弊社サービス紹介というよりも、脅威インテリジェンスをどう考えるか、どう活用するかという部分で
皆様のヒントとなるよう運営しております。是非お気軽にご参加下さいませ!!!

ウェビナー詳細&お申込

 

✧その他、ご不明な点がございましたらこちらからご連絡下さい。