リソース

ブログ

Cyber Capabilities and National Power -1- (いぎりすのやつ)
Post 2021-07-29
Cyber Capabilities and National Power -1- (いぎりすのやつ)

Cyber Capabilities and National Power -1- 2021年6月28日にイギリスの民間国際的戦略研究機関であるIISS(THE INTERNATIONAL INSTITUTE FOR STRATEGIC STUDIES)から「Cyber Capabilities and National Power」という各国のサイバー空間における能力と国力の評価レポートが公表されました。 # ちなみに、弊社内の一部では本レポートを「いぎりすのやつ」と呼称しており、原題を忘れがちです。。。    今回から2回に渡って、このレポートについて見ていきます。このような外部機関が発行するレポートは外部情勢を把握する際に重要なうえ、自国がどのように見えているか、自国がどのような状態にあるのかを知るうえでも大いに役立ちます。 レポートの対象国は、アメリカ、イギリス、カナダ、オーストラリア(以上、ファイブアイズのメンバー)、フランス、イスラエル、日本(以上、ファイブアイズとサイバー対応における同盟国)、中国、ロシア、イラン、北朝鮮(以上、ファイブアイズとその同盟国がサイバー脅威とみなしている国)、インド、インドネシア、マレーシア、ベトナム(サイバー空間における能力が初期段階にある国)の15か国で、それぞれに国について以下の7つのカテゴリで評価を行っています。 ※かっこ書き内の表記はエグゼクティブサマリーに準じています。 ・Strategy and doctrine <戦略と基本原則> ・Governance, command and control <ガバナンス、指揮統制>…

脅威インテリジェンス活用の考え方 -3-
Post 2021-07-08
脅威インテリジェンス活用の考え方 -3-

脅威インテリジェンス活用の考え方 -3- 前回のブログでは、脅威インテリジェンスを活用するために以下の流れがあると紹介しました。 0. 自組織の脆弱性を認識する 1. 脅威を認識する 2. 脅威を理解する 3. 脅威の影響、リスクを考える 4.脅威の特定、影響度と優先度の決定、対策の検討 5. 活用・提供 今回はフェーズ2以降の詳細を見ていきます。   2.脅威を理解する 脅威を認識したら、脅威を理解しましょう。得た脅威情報について追加の情報を収集し理解を深めていきます。この際、注意すべき点がいくつかあります。 ・単一の情報で判断しない 情報源は複数利用すべきです。セキュリティ機器から得られたIOCなど、それそのもので判断ができる様な情報であればよいですが、脅威は多角的視点で理解する必要があります。あらゆる情報を集め、状況証拠を積み上げ、推論を重ねて評価する必要があります。 ・断定しない 脅威とは既に見えている、顕在化したものだけではありません。今後起こり得る脅威を捕捉するためには、「自社には関係ない」「エビデンスがない」など否定的な断定は推奨しません。「脅威を認識する」フェーズでも述べましたが、ひとりで行うと往々にして断定しがちです。主観的意見を極力排除し、得る情報に対して濃淡をつけていく形で理解を深めることが肝要です。 このフェーズは、高い情報収集能力と分析能力を求められますし、地道な作業の積み重ねになります。本来であれば各社で専門家を育成していくことが望ましい状態でありますが、それまでの間は外部の専門ベンダーに頼って適切な情報提供・アドバイザリーを受け、自社の体制・スキルの強化を図ることが現実的なアプローチでしょう。   3.脅威の影響、リスクを考える 続いて、脅威を自組織の脆弱性と組み合わせて、リスクを検証します。脅威が自組織にどのような影響があるのか?顕在化する可能性はあるのか?などの検証を行っていきます。とはいっても定型化された物差しがないと正確に判断することができませんので、ここではふたつのフレームワークを紹介します。 ・STRIDE マイクロソフトが提唱する脅威分類手法です。このフレームワークを利用すると脅威の特性別に6つのパターンに分類することができます。 表:STRIDE このようにさまざまな脅威を分類することで、自組織にとって望ましくない結果を与える脅威について同じ物差しで会話することができセキュリティ対策検討のスピードを速くすることに寄与します。…

脅威インテリジェンス活用の考え方 -2-
Post 2021-06-24
脅威インテリジェンス活用の考え方 -2-

脅威インテリジェンス活用の考え方 -2- 前回のブログでは、脅威インテリジェンスを活用するために以下の流れがあると紹介しました。 0. 自組織の脆弱性を認識する 1. 脅威を認識する 2. 脅威を理解する 3. 脅威の影響、リスクを考える 4.脅威の特定、影響度と優先度の決定、対策の検討 5. 活用・提供 今回はフェーズ0とフェーズ1の詳細を見ていきます。 0. 自組織の脆弱性を認識する 脆弱性というとパッチを適用するようなシステムに関するものが想起されますが、ここでいう脆弱性はもう少し幅広い意味を持っています。組織にとって脆弱性となり得るものはシステムのみならず社会環境、属する業界、人、組織、プロセスなどが含まれます。 例えば、日本の企業というだけで、地政学的に日本に関心を持つ国家支援型ハッカーグループの標的とされます。重要インフラ事業者はもちろんのこと、業界において画期的な技術を持っている企業や発言にニュースバリューのある経営者などは攻撃者の注目を集めやすい存在です。また、攻撃者はターゲット企業を直接狙うだけではなく、ターゲット企業のサプライチェーンの中でシステム管理の弱いところや技術開発においてITリテラシーの低い管理者がいる場合、そこが脆弱性となり得ます。 企業において、サプライチェーン全体や開発委託先まですべての脆弱性を管理・監督することは困難ですが、以下の観点から脆弱性認識を取り組んでいただくことを推奨します。 ・まずは自組織において、どんな点が脆弱性となりそうかを書き出してください。その際には、システム的な側面のみならず、自社を取り巻く環境から人やプロセスなど幅広い観点で捉えていくことが重要です。 ・この活動は、危機管理室やリスク管理部門などの活動と重なる部分もありますので、そのような部門と連携することでより網羅的な情報になります。 ・組織内の情報だけではなく、外部からの視点も重要です。外部から見た場合に、自組織が属する国や業界がどう見えているのか客観的視点で把握するためにニュースや業界分析レポートに目を通してみてください。攻撃者もそういった情報を定期的に確認することでターゲットとする国・業界・企業を選定しています。また国内のみならず、海外のニュースやメディアで自国や業界のトピックがどう取りあげられているかを確認することが、より攻撃者視点で役に立つ可能性があります。 1. 脅威を認識する 脅威を認識する方法は以下の4つの方法があります。 ①自社で発生したインシデントを調査する ②外部ソース(主に一般的な公開情報)から目立った脅威を認識する ➂国内や同業他社のインシデントを認識する ④外部機関からの情報提供をうける…

脅威インテリジェンス活用の考え方 -1-
Post 2021-06-10
脅威インテリジェンス活用の考え方 -1-

脅威インテリジェンス活用の考え方 -1- 脅威インテリジェンスはセキュリティ製品とは違い、”導入して完了”というものではありません。 セキュリティ製品であれば、自動で脅威をブロックしたりアラートを上げてくれますが、脅威インテリジェンスはメールやレポートを受け取るだけでは価値を有効活用することはできません。もちろん、収集・分析までは脅威インテリジェンスベンダー側で実施していますが、活用するためには利用する側でも手を動かす必要があります。以前ご紹介したCTIフレームワークでも活用/提供までのステップが明記されています。 図:IJIRTSによるCTI Frameworkを基に弊社編集   今回は、利用する側は、どのような考え方で脅威インテリジェンスの活用/提供を進めていけばよいのか見ていきます。が、その前に、「脅威」というものを取り扱うにあたって以下の方程式について簡単に説明します。  脅威×脆弱性=リスク  この方程式はセキュリティリスクを考える上でよく見る方程式です。自組織の「リスク」を把握するうえで必要な要素が「脅威」と「脆弱性」になります。一言に脅威と言っても外部脅威には様々な要素があります。目に見える状態の脅威であれば比較的容易に対応可能ですが、地政学的な脅威や業界を取り巻く脅威、攻撃者の存在や攻撃手法など、残念ながら大きな被害をもたらす脅威は潜在的に存在しています。そして脆弱性ですが、脆弱性というとパッチ適用で解決する脆弱性を思い浮かべますが、ここでいう脆弱性はそれだけではありません。人もそうですし組織やプロセス、システムにおける侵害可能な欠陥なども含まれます。  このように、脅威インテジェンスベンダーから提供される脅威情報と自組織の脆弱性を正しく認識することで、自組織のセキュリティリスクを把握することに繋がるということを念頭に置いておく必要があります。  以上を踏まえたうえで、脅威インテリジェンスを活用するための流れを見てみましょう。  0.自組織の脆弱性を認識する  1. 脅威を認識する  2.脅威を理解する  3.脅威の影響、リスクを考える  4.脅威の特定、影響度と優先度の決定、対策の検討  5.活用・提供  フェーズ0は、脅威インテリジェンスベンダーから情報提供できるものもありますが、脆弱性はシステムに関するもののみならず、人・組織・プロセスなども含まれるため、基本的には組織内部で実施する必要があります。  フェーズ1および2は、主に脅威インテリジェンスベンダーの領域です。「認識」「理解」は利用する側で行うことですが、そのためのインプット情報は自分で収集するのではなく脅威インテリジェンスベンダーから得る必要があります。またここで入手する情報は、スキルを必要とする深い分析・読解を求めるようなものであるべきではありません。次のフェーズ3以降をスムーズに実行できるように整理された活用しやすい脅威インテリジェンスを利用してください。  フェーズ3以降は組織内部で行っていく必要があります。これ以降のフェーズをしっかり進めるためには、自組織のビジネス環境やIT環境に対する理解やリスクシナリオの検証能力、判断能力、報告能力が求められますが、逆に前のフェーズで有益な脅威インテリジェンスを得られていれば、脅威インテリジェンスの収集/分析能力やセキュリティ技術に対する深い知見は左程重要な要素ではありません。  このように、脅威インテリジェンスを活用するには、外部から情報を入手するだけではなく自組織でも実施すべきことがあります。潜在的な外部脅威を可視化することは脅威インテリジェンスベンダーに任せ、脅威インテリジェンスを活用する側では、得られた脅威情報と自組織の脆弱性からリスク、対応を考えていくことが必要です。  今回は、脅威インテリジェンスを活用するうえでの考え方をご説明しました。次回以降それぞれのフェーズについて詳細にご説明していきたいと思います。  CYFIRMAでは組織のセキュリティ戦略から戦術面まで活用できる、包括的な脅威インテリジェンスを提供しています。ご興味のある方は、どうぞお気軽にお問い合わせください。  CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています! ✧毎週火曜日に発行「Weekly Security Update」 CYFIRMAが独自で毎週発行している「Weekly…

6領域で理解する脅威インテリジェンス
Post 2021-05-27
6領域で理解する脅威インテリジェンス

6領域で理解する脅威インテリジェンス 今回は、CYFIRMAが定義する6領域の脅威インテリジェンスを見ていきます。 脅威インテリジェンスは幅広く非常に多くの要素を含んでおり、脅威インテリジェンスをそのまま深く理解し活用するには相応のスキルが必要となります。CYFIRMAでは一般的な組織で活用しやすいよう脅威インテリジェンスを6つの領域にカテゴライズしています。この分類には企業における利活用の視点は勿論のこと、サイバー攻撃を仕掛ける攻撃者の視点を踏まえて定義しています。 図:CYFIRMAの定義する6領域の脅威インテリジェンス   ATTACK SURFACE DISCOVERY(攻撃対象領域の調査) 攻撃者は攻撃ができそうなシステムを常に探索しています。攻撃者が今現在ターゲットとしている組織に対する探索は勿論のこと、将来攻撃を実行する際に使えそうな資産、侵入口となり得るシステムや攻撃者に利益をもたらしそうなシステムなどのリストを作成しています。 守る側の組織では、「攻撃者から見える自組織の資産」を常に把握し、自組織が把握していない外部公開資産がないよう管理することが重要です。 VULNERABILITY INTELLIGENCE(脆弱性に関するインテリジェンス) 「攻撃者が存在し」「攻撃対象となり得る資産があり」「脆弱性が存在する」と、それは組織のリスクとなります。残念ながら攻撃者の存在はコントロールできませんが、自組織の資産に関する脆弱性は対処可能です。自組織の資産に関する情報、例えば不要なポートの開放や稼働しているソフトウェアの開示など、攻撃者にとって有益になる情報は秘匿すべきでしょう。 守る側の組織では、「攻撃者から自組織の資産がどう見えているのか?」を常に把握し、攻撃者に不要な情報を与えないようシステムを管理することが重要です。 BRAND INTELLIGENCE(ブランドに関するインテリジェンス) 時として攻撃者は組織のブランドを悪用します。有名ブランドのSNSの偽アカウントにユーザーを誘導したり、BEC(ビジネスメール詐欺)やホエーリングなどと呼称されますが、役員や決裁者の名前を騙って取引先へのソーシャルエンジニアリングを実行することが常に行われています。 守る側の組織では、そういった悪用されやすい自社のブランドを理解しておくことも重要です。 SITUATIONAL AWARENESS(情勢認識) 攻撃者は多くのリソースを投じて、狙いを定めた国や業界の情報を収集し、必要に応じてターゲット企業を定め攻撃を実行します。彼らはどの業界でどのような最新技術が開発されたか?ある国でシェアが高いソフトウェアは何か?など常に最新の動向に目を配っています。 守る側の組織でも、自組織のリスクの高まりや攻撃者の動機を理解するために、攻撃者と同様に自分たちの国や業界、そして自組織がどう攻撃者から見られているか、自組織を取り巻く脅威情勢の趨勢を理解することが重要です。 DIGITAL RISK PROTECTION(デジタルリスク保護) 残念なことに、いくら自組織でセキュリティ対策を実施していても情報の漏洩は発生します。情報の漏えい元は自組織に限らず、取引先や雇用者、クラウドサービスなどから漏洩することもあります。 攻撃者はこの漏洩してしまった情報も活用します。彼らは常に公開された漏洩情報のデータベースや、リークサイト、情報共有サイトなどから情報を収集しそれを次の攻撃で悪用できないか考えています。 守る側の組織でも、この二次利用される可能性のある情報を定常的にモニタリングし対応することで、リスクを軽減することに繋がります。 CYBER INTELLIGENCE(サイバーインテリジェンス)…

3つのレイヤーで活用する脅威インテリジェンス
Post 2021-05-13
3つのレイヤーで活用する脅威インテリジェンス

"戦略的"  "統制的"  "戦術的":3つのレイヤーで活用する脅威インテリジェンス 今回は、脅威インテリジェンスの活用について考えてみます。 我々のような脅威インテリジェンスを提供する会社はよく、脅威インテリジェンスは「戦略的(Strategic)」、「統制的(OperationalあるいはManagement)」、「戦術的(Tactical)」の3つレイヤーで活用ができると言っています。これは、言い換えると、「経営層」、「管理層」、「実務層」のそれぞれの方々で脅威インテリジェンスは活用することができ、さらに自社を守るためにはすべての層で活用すべきであるというメッセージでもあります。 この3つのレイヤーでの脅威インテリジェンスの活用について見ていきましょう。 図:3層で活用する脅威インテリジェンス 戦略的インテリジェンス  脅威インテリジェンスを活用するうえで最も重要な観点になります。経営層、管理層、実務層の間でセキュリティ戦略における円滑なコミュニケーションツールとして活用されます。  ・自社で顕在化したインシデント(セキュリティ製品からアラートが出たもの)の数値的なの報告に留まらず、ビジネスの世界と同じように、脅威インテリジェンスを用いて世の中の動向、脅威情勢について共通認識を持つ  ・世の中の脅威情勢の変化、自社の脅威情勢の変化を受けて重点的に守るべき資産、組織を定義する  ・自社が優先的に実施すべきセキュリティ対策について議論、共有する  個々のセキュリティ対策製品の機能や流行のセキュリティ対策製品について話しても、三3層の間で円滑なコミュニケーションをとることはできません。自社を取り巻く脅威情勢について経営層、管理層、実務層で共通認識を持つことで、自社のセキュリティ戦略の企画立案、効率的なセキュリティ対策の実施する手助けとなります。  統制的インテリジェンス  自社が晒されている脅威や狙われる可能性のある自社の資産を把握することで、サイバー攻撃のリスクを低減することができます。  ・自社を狙っている攻撃者の存在認識およびその攻撃者の動向、ターゲット業界、攻撃手法などを理解する  ・攻撃者視点で狙われる可能性のある自社資産を特定する  ・利用している資産に存在する脆弱性(公開されているポートや利用しているソフトウェアの開示など)を把握する  ・特定のソフトウェアの脆弱性について攻撃者の利用動向、エクスプロイトコードの有無など付加情報をもとに脆弱性のリスク度合い把握する  漠然とセキュリティ対策製品を並べていても攻撃者から自社を守ることはできません。脅威インテリジェンスを用いて攻撃者の存在と自社の脆弱な状況を的確に把握することが、適切なセキュリティ対策を実施するために必要です。  戦術的インテリジェンス  俗に言うTTP(Tactics, Techniques and Procedures:戦術、技術、手順)やIoC(Indicator of Compromise: Hash、IPアドレス、URL)です。これらの脅威インテリジェンスは以下のように活用することができます。  活用するうえで最も重要な観点になります。経営層、管理層、実務層の間でセキュリティ戦略における円滑なコミュニケーションツールとして活用されます。  ・セキュリティ対策製品にIoC IOCを連携し、検知・防御する  ・セキュリティ対策製品が検知したIoC がどのようなものか脅威インテリジェンスを用いて調査する  ・脅威インテリジェンスで得られるIoC を利用して自社内の攻撃痕跡を調査する  ・自社を狙う攻撃者やマルウェアのTTPを利用して自社のセキュリティ対策で検知・防御可能か確認する  非常に実務的な内容ですが、TTPやIoC は様々な活用方法があります。ただ、世の中にある有償・無償のIoCを利用しても、大概が既にセキュリティ対策製品で検知できるIoCの場合があります。既に被害が公表されているマルウェアのIoCであれば、商用のセキュリティ対策製品であれば検知・防御が可能です。IoCを活用したセキュリティ対策を行うには、攻撃者が利用する前のIoCや攻撃者と相関分析を行っているIoCを提供する脅威インテリジェンスを利用することが有用です。   …

脅威インテリジェンスの全体像を把握する
Post 2021-04-23
脅威インテリジェンスの全体像を把握する

昨今、様々な会社が脅威インテリジェンスを提供していると謳っています。 IOCのみを脅威インテリジェンスとして提供している場合もあれば、漏洩データのモニタリングを脅威インテリジェンスとして提供している場合もあります。これらも脅威インテリジェンスではありますが、脅威インテリジェンスのごく一部でしかありません。そこで今回は、本来の意味での脅威インテリジェンスの全体像を把握してみましょう。 下の図は、“International Journal of Innovative Research in Technology & Science (IJIRTS)”によるCTI Frameworkをもとに弊社が編集したものです。 図:IJIRTSによるCTI Frameworkを基に弊社編集 このフレームワークは大変優れており、あらゆる情報を収集・分析し、インテリジェンスとして加工したものを活用・提供するまで、脅威インテリジェンスの全体像をよく表していると考えています。 脅威インテリジェンスは、数多くの外部の情報源から情報を収集することから始まります。収集する情報は俗に言うIOC(Hash、IPアドレス、URL)のみならず、セキュリティイベントや脆弱性など様々な情報が含まれています。脅威インテリジェンスを活用する企業では、さらに自社の資産に関連する情報や社内インフラのログなどを取り込むことができます。 情報を収集したら、その情報に意味づけをします。得た情報は他の情報とどのような関連性があるのか、過去得ている情報との紐づけや、ハッカーグループや彼らの狙いやTTPなどを分析します。 ここからわかることは、収集することで得られるIOCや脆弱性情報のみならず、分析を必要とする攻撃者に関連する情報が含まれて初めて脅威インテリジェンスと足りえるということです。前回のブログでご説明した、「自組織にとっての攻撃者の特定と理解」が脅威インテリジェンスの構成要素として、いかに大事かがわかるかと思います。 我々のような脅威インテリジェンスを提供する会社としては、このようなハッカーグループや彼らの利用するTTPなどハッカーグループの詳細情報を得られるかが大きな差異的要素となります。これらの情報は通常のWebサイトから得ることは難しく、ダークウェブなどのクローズドな環境から得ることになります。このような活動は諜報活動で行う手法と似通っているため、脅威インテリジェンスサービスを提供している会社には各国の諜報機関出身者が在籍していることが多くあります。(弊社のCEOもそうです。) ハッカーグループやTTPを理解するうえで、もう一つ大事な要素があります。それは脅威情勢の認識です。単に「攻撃者A」という情報を渡されても何も対応できません。攻撃者Aがある業界・企業を狙っているのはなぜか?彼らの目的は何なのか?ということを知るためには自社や業界を取り巻く脅威情勢を理解することが必要です。脅威情勢を理解することで「攻撃者A」によってどのような影響・リスクがあるのか把握することができます。以下では脅威情勢の3つの視点について説明します。 地政学的な理解 国家間の歴史的・軍事的・経済的な対立や、場合によっては国内のデモなどの不安定な社会情勢が、サイバー攻撃の原因となるケースが急増しています。日本においても、オリンピックなどの国際的なイベントや、国土などをめぐる歴史的な問題、経済的な支援や制裁が実際のサイバー攻撃の動機となっています。このような攻撃の背景には国家支援型と呼ばれる脅威アクターや高度なハッカーグループが関与していることが多々あるため、地政学的変化が自組織にとってどう影響を及ぼすか理解しておくことは戦略的インテリジェンスとして非常に重要です。 業界に対する脅威 攻撃者はいきなりA社を狙うわけではありません。まずはターゲットとする業界を選定します。これは、「①導入されているシステムやプロセスが似通っており、攻撃手法やツールを横展開できること」、「②攻撃者の動機は主に支援されている国の経済や企業を助けることにあるため、その競合する企業を業界単位で狙うこと」、「③業界内において大規模なサプライチェーンが構築されているため、一社に侵入できると横展開がしやすいこと」、などが要因として考えられます。残念ながら業界内での企業規模の大小はあまり問題ではありません、その業界に関わっていることが攻撃の理由になりますし、攻撃しやすいところから攻撃します。 侵害する手法、ツール 同一の技術に対しては、同一のパターンやツールが使用できるため、攻撃する側としては非常に簡単です。例えば、世界で多く利用されているメールサーバーを侵害できれば、同じメールサーバーを利用している組織はすべて侵害の対象とすることができます。また、業界特有で使われるソフトウェアがあれば、そのソフトウェアを侵害できれば、業界内の組織への侵害が容易になります。自組織内の重要システムや製品、サービスで使用されている技術を理解し、その技術の侵害可能性を理解しておくことは、いざという時に迅速に対応することができます。 このように、脅威インテリジェンスのカバー範囲は大変幅広いものです。データとしての脅威インテリジェンスも有用ではありますが、すべてをカバーして提供される脅威インテリジェンスによってのみ自社のセキュリティ戦略からセキュリティ対策まで有益に活用することができます。 CYFIRMAでは組織のセキュリティ戦略から戦術まで活用できる脅威インテリジェンスを提供しています。ご興味のある方は、お気軽にお問い合わせください。 CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています!…

脅威インテリジェンス(スレットインテリジェンス)とは? ~ 脅威インテリジェンスという言葉を理解する
Post 2021-04-07
脅威インテリジェンス(スレットインテリジェンス)とは? ~ 脅威インテリジェンスという言葉を理解する

「脅威インテリジェンス」(あるいはスレットインテリジェンス)という言葉が世の中に溢れ始めています。 果たして、脅威インテリジェンスとは何者なのでしょうか?今回は、「脅威インテリジェンス」という言葉を汎用的に説明してみます。 組織におけるセキュリティ戦略は、ビジネス特性、守るべき資産、リスクへの対応方針などにより異なりますが、脅威インテリジェンスは組織のセキュリティ戦略から戦術まで貢献する大事な要素です。 脅威インテリジェンスとは、「自組織にとっての攻撃者の特定と理解」と「攻撃者から見る自組織のリスクの把握」を手助けするものです。脅威インテリジェンスを活用することで、自組織を取り巻く脅威情勢、自組織が保有している外的リスク、自組織を狙う攻撃者やその動機を理解することに繋がります。 良く、IoC(脅威存在痕跡)や漏洩データの収集を脅威インテリジェンスと称しているのを耳にしますが、必ずしも正確ではありません。脅威インテリジェンスのカバー範囲はもう少し幅広く、またセキュリティ戦略の成熟度によらず活用することができるものです。もちろん、最大限に活用するためには組織においてもセキュリティの組織、理解度、スキル、対策の成熟度を上げていく必要がありますが… 上記と異なる視点では、「データ」を収集し、整理した「インフォメーション」を、分析した結果が「インテリジェンス」と言われます。しかし、これはインテリジェンスの生成フローを示しているだけです。データ分析全般で使われるフローの説明であり、サイバーセキュリティの世界での脅威インテリジェンスの説明には不十分です。脅威インテリジェンスの概念について「自組織にとっての攻撃者の特定と理解」と「攻撃者から見る自組織のリスクの把握」の観点からかみ砕いて説明してみます。 図:データ・インフォメーション・インテリジェンスの概念   「自組織にとっての攻撃者の特定と理解」 世の中のスポーツ競技では大概、対戦相手の情報収集を行って戦略を練った上で試合に挑みます。 外交・政治の世界においても相手の望むことと自分の望むことを比較検討し落としどころを探り合います。 翻って、サイバーセキュリティの世界ではどうでしょうか? 攻撃者はターゲットとする組織の情報をあらゆる手段を用いて収集していますが、守る側は自組織を狙っている攻撃者の情報を入手することができていません。このような情報の非対称性が発生しているのがサイバーセキュリティの現状です。守る側が圧倒的不利な状況と言われるサイバーセキュリティにおける情報の非対称性を解消すべく、自組織を狙った攻撃者についての様々な情報を提供することが脅威インテリジェンスの重要な要素となります。   図:攻撃者に関する脅威インテリジェンスの例   「攻撃者から見る自組織のリスクの把握」 貴社では、多種多様なセキュリティ対策ソリューションを導入していると思います。しかし、自組織のリスクについてきちんと把握したうえで、その対策としてセキュリティ対策ソリューションを導入できていますか?セキュリティ対策を行う上で肝となる自組織に存在するリスクを可視化することも脅威インテリジェンスの大事な要素です。 攻撃者は闇雲に手あたり次第攻撃を行っているわけではありません。Cyber Kill Chain©という概念が有名ですが、攻撃対象になり得るシステムはどれか?ソーシャルエンジニアリングに利用できるアカウントはないか?など、まず攻撃対象をリストアップします。組織にとっては攻撃対象としてリストアップされることそのものがリスクとなります。 脅威インテリジェンスは、攻撃者視点で自組織の攻撃対象となり得る箇所についての情報を提供することができます。 図:攻撃者から見る自組織のリスクの把握   このように脅威インテリジェンスは、本来、IoCや漏洩データの収集だけではなく、幅広く組織のセキュリティ戦略に貢献できる情報を得ることができるものであるべきです。次回以降のブログでは、脅威インテリジェンスについて様々な角度から深堀、解説していきますのでご期待ください。 CYFIRMAでは組織のセキュリティ戦略から戦術まで活用できる脅威インテリジェンスを提供しています。ご興味のある方は、お気軽にお問い合わせください。   CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています!   ✧毎週火曜日に発行「Weekly…

Security Days 2021 Spring:日本市場をリードする脅威インテリジェンス専業ベンダーが語る、脅威インテリジェンスによるセキュリティ強化の方策と事例
Post 2021-03-08
Security Days 2021 Spring:日本市場をリードする脅威インテリジェンス専業ベンダーが語る、脅威インテリジェンスによるセキュリティ強化の方策と事例

Security Days 2021 Springが、2021年3月3日~5日の三日間開催されました。3月4日に、「日本市場をリードする脅威インテリジェンス専業ベンダーが語る、脅威インテリジェンスによるセキュリティ強化の方策と事例」と題し、長くお付き合い頂いている東芝様、NEC様の活用事例。また、パートナーのNTTデータ先端技術様の事例を交え講演させて頂きました。 当日は200名以上の方に事前登録を頂き、脅威インテリジェンスに対する関心度が高まっているのだなと感じました。   Security Days アジェンダ >> 今、日本のお客様が脅威インテリジェンスを検討する背景 >> CYFIRMAのサービス概要 >> 日本企業における活用の具体例(NEC様、東芝様、NTTデータ先端技術様 ※今回各企業の事例は当日の投影のみとなっております。   複雑化する脅威情勢の中でセキュリティ部門が抱える課題(例) 現場だけではなく、それぞれの立場、ポジションでセキュリティに対する悩みがあります。 その悩みに対してどう解決した方がいいのか、どの様な対策が必要なのかをお話させて頂きました。   6つの領域をカバーするCYFIRMAの新しい脅威インテリジェンスモデル ハッカーたちは、この6つの領域に注目しています。 この6つを包括的にカバーできるのが強みとなっている点。そして弊社プラットフォームDeCYFIRの新機能、「ATTACK SURFACE DISCOVERY」をご紹介させて頂きました。        …

2021/2/24開催Webinar考察:1月の脅威トレンド ~日本に向けた、国家支援型ハッカーグループの1月の観測~
Post 2021-03-01
2021/2/24開催Webinar考察:1月の脅威トレンド ~日本に向けた、国家支援型ハッカーグループの1月の観測~

※こちらは弊社オリジナルウェビナーの考察となります。弊社独自の調査情報もございますので、内容の外部展開はご遠慮ください。 ※ウェビナーは毎月定期的に開催しておりますので、ご興味があればこちらからお申込ください。 今回は、1月の脅威トレンドという事で、CYFIRMAが観測した国家支援型ハッカーグループの攻撃を分析した内容のウェビナーとなっております。要点をまとめようと思います。   ▶ どんなデータを分析しているのか? 最近では、CMでもディープウェブ、ダークウェブなんていうワードを聞く機会が増えました。CYFIRMAは、公開されているデータ、または少しテクニックがあれば入り込める様なフォーラムのデータだけではなく、完全にクローズドなダークウェブの中をモニタリングする技術を持っています。 ここでは、メールアドレスや個人情報の情報漏洩という様なものがやりとりされているところではなく、国家支援型ハッカー集団が、国の為に各国、各企業に対して攻撃を行う為に様々なやり取りがされます。 ディープウェブ&ダークウェブの監視というページで簡単にご紹介していますのでご覧になってみてください。   ▶ Lazarusグループが多かったが、1月はAPT29(ロシア系)の検知数が多かった(CYFIRMA調べ) ロシア系のハッカーグループは、去年の夏ごろから日本での検知数がどんどん上がってきており、1月の検知数が一番になった。       ▶ 1月に検知されたハッカー集団がターゲットとしている業種(CYFIRMA調べ) 皆様も、自分たちの業種がどのハッカー集団からターゲットとされているのかを知り、それらのハッカー集団がどういう手法を使ってくるかを知る事で、対策にも役に立ちます。 ※これらのハッカー集団がどの様な手法を使うのか、どの様な対策をしたらいいのかはウェビナーでご説明しております。お知りになりたい方はこちらから詳細をご記入の上お問合せ下さい。   ▶ 1月の検知からのセキュリティ対策について     ▶ これらの情報を使い、どう生かすのか? ① 自分たちがおかれている情勢を知る事。 ② 自分たちの業種は直近どのようなハッカー集団が攻撃をしかけようとしているのかを把握する事。 ③ これらの情報を持ち帰り、OSINT情報で調べてみる。(どういった手法?どういったマルウェア?) ④ フレームワークを使い、自分たちを狙ってくるハッカー集団に対して、何ができていて、何ができていないかを把握し穴を見つける。その後、その穴に対してセキュリティ投資をするべきかどうかを判断する。 ⇨自分たちを狙っているハッカー集団が誰か知る事で、自ずと足りているもの、足りていないものを明らかにすることができる。   "自分たちに必要なものを自分たちで考えるセキュリティ対策をするために 脅威インテリジェンスを活用してほしいと思います。"…