- Column
- 問われるサイバーレジリエンス
脅威インテリジェンスを活用し組織全体のサイバーレジリエンスを高める
「重要インフラ&産業サイバーセキュリティコンファレンス」より、インテリジェント ウェイブ ソリューション営業部の倉 健祐 氏
- 提供:
- インテリジェント ウェイブ
敵(攻撃者)を知り自身を客観視するのが脅威インテリジェンスの“情報戦”
ここで倉氏は、サイバーレジリエンスの向上に役立つフレームワークとして次の2つを挙げる。(1)米非営利団体MITREの「Cyber Resilience Engineering Framework(CREF)」と、(2)NIST(米国立標準技術研究所)の「Cyber Security Framework 2.0(CSF2.0)」だ。MITRE CREFは、目標・目的・テクニックの3段階で攻撃に対処する。NIST CSF 2.0は、識別・防御・検知・対応・復旧・統治の6つの機能で攻撃に対処する。このうち統治は「CSF2.0で新たに追加された機能」(倉氏)である。
そのうえで倉氏は、脅威インテリジェンスについて、こう説明する。
「情報戦で求められるのは、敵(攻撃者)の情報を得ることと、自分を客観的に知ることである。敵の攻撃意図を把握し攻撃対象と攻撃手法を予測する。同時に自分が攻撃されるリスクを把握して予測される攻撃手法への防御策を講じる。それらを実現するのが脅威インテリジェンスだ」(図1)
脅威インテリジェンスで実現するのは、(1)脅威動向の継続的な把握と予測、(2)リスクの管理・低減・回避、(3)インシデントの際の早急な対応・復旧など。「統治する経営層をも交えて、これらを実直にこなしていくことがサイバーレジリエンスの強化につながる」と倉氏は力を込める。
脅威インテリジェンスには戦略、運用、戦術の3つがある
脅威インテリジェンスを倉氏は大きく、(1)戦略インテリジェンス、(2)運用インテリジェンス、(3)戦術インテリジェンスの3つに分類する(図2)。
戦略インテリジェンス
経営層(CISO:最高情報セキュリティ責任者、CIO:最高情報責任者、CSO:最高セキュリティ責任者、CTO:最高技術責任者)を対象に長期的に活用する。
ここで目指すのは、「リスク変化に対するハイレベルな情報(非技術情報)の提供によりセキュリティに関する適切な意思決定、投資判断をインプットすることだ」(倉氏)。紛争の予兆や政治的衝突といった地政学的リスクに対し、現地からの撤退などの事業判断、サイバー脅威の動向を見た情報セキュリティへの投資判断などである。
運用インテリジェンス
セキュリティリーダーやSOC(Security Operation Center)マネジャー、CSIRT(Computer Security Incident Response Team)リーダーが対象で短期から中期で活用する。
ここで目指すのは、「被害を予防・抑止するために、攻撃手法の観点から攻撃グループを理解し、セキュリティ改善活動につなげる継続的な活用」(倉氏)である。脆弱性を悪用するマルウェアの有無を加味した情報配信と対応の優先度付け、攻撃の技術情報を基にした保護ツールやインシデント対応手順の継続的な見直しなどである。
戦術インテリジェンス
SOC担当者やCSIRT向けで短期に活用する。
ここで目指すのは、「広範囲で豊富な脅威データを用いて、進行中の攻撃による被害を最低限に抑えること」(倉氏)である。検知アラートに基づくトリアージ(選別、優先順位付け)による調査速度の向上と負担減、脅威データをEPP(エンドポイント保護)やEDR(エンドポイント検知と対処)のブロックリストに追加し被害抑止と予防につなげるなどが相当する。