サイバー脅威に関する情報を4つに分類
本書では経営層の関与や意思決定の必要性を繰り返し説いてきました。意思決定を行うには、さまざまな情報ソースを意思決定に資する情報(洞察)に仕立て上げていく必要があります。
[図表4]のように、情報ソースを収集・分析して、サイバー脅威に関する情報へと形を変え、最終的には意思決定に用いることができる洞察にまで仕立て上げていくのです。
[図表4]中央の図は、サイバー脅威に関する情報を4つに分類し、「攻撃者と被害者」「攻撃能力と攻撃機会」という2つの軸で表現しています。
「攻撃者」は、まず攻撃の帰属の分析を行います。これは「誰が攻撃しているのか」「どういう組織に属しているのか」といったことで、さらにそこから意図や動機も探ります。
「被害者」とは、「どの組織が狙われるのか」「狙われてどのような被害に遭ったのか」といった情報です。「攻撃能力」とは、マルウェアや侵入先のシステムがもともと持っている機能を使った攻撃(Living off the landと呼ばれている)の能力のことです。
最後に「攻撃機会」ですが、サイバー攻撃はインターネットを経由してきますので、攻撃に使われているインターネット上のインフラなどの情報を利用します。たとえば、DNS※2どがあります。これらの情報を組み合わせて、最終的には洞察に仕立て上げていきます。
※2DNS=ドメイン名とIPアドレスを結びつけるシステム。
たとえばWebブラウザに「https://jpn.nec.com/」とドメイン名を入力すると、DNSがインターネット上の住所(IPアドレス)に変換してNECのサイトにつなげてくれる。
セキュリティリスク管理の意思決定に使われる脅威インテリジェンスの例としては、次のようなものがあります。
1. 攻撃アクター
「攻撃者」とほぼ同じで、グループに対して名づけられています。どのグループが、いつ、どのような手法で攻撃し、どんな被害があったのかというようなナレッジが脅威インテリジェンスです。
2. 攻撃の手口
侵入経路や最終的にどういう情報を窃取するのかというような手段のことで、一覧にまとめて公開されているものもあります。
3. 不備の特徴
「攻撃の機会」に該当する情報で、どういう脆弱性が狙われているのか、どういう不備を使って攻撃をしてくるのかといったものです。
4. 悪用事案
他の組織が被害に遭った事案の情報を駆使して意思決定に活用します。
(広告の後にも続きます)
脅威インテリジェンスの分析における4つのポイント
サイバー脅威に関する情報の分析の観点や目的には、次のようなものがあります。
信頼度:情報の確からしさ、分析の確信度合い
関係性:物事の関連性、つながり
影響度:被害の影響度合い、事業へのインパクト
時系列:事象やイベントの発生日
過去の蓄積:攻撃者が用いる攻撃手法、キャンペーン
トレンド
予測
この中の「キャンペーン」とは、たとえば、選挙や国際イベントといった特定の期間において攻撃者がグループで集中的に活動することがあるため、そのときの情報を蓄積しておいて活用します。また、新しい攻撃手法を編み出した際に、対策される前に集中的な攻撃を実施するケースもキャンペーンの一種です。
「トレンド」とは、「どのような攻撃が、どれぐらいの規模で、いつ流行したのか」といったトレンドの分析です。
「予測」は、「この先どんな攻撃者が活発に活動するか」「どういう攻撃手法が流行するのか」を予測していくことです。
5つの外部環境の情報収集が不可欠に
最近では紛争や政治イベントなどの事象に対して、ある目的を持ってサイバー攻撃が行われるようになりました。
かつてのサイバー攻撃の分析は、サイバー空間上でのイベントを収集して分析することが多かったのですが、現在ではそれだけを捉えていても本質が見えにくくなってきたため、より的確に捉えるために、サイバー脅威の周辺に関する情報の収集・分析が不可欠になっています。
代表的な外部環境の分析対象としては、英単語の頭文字を取って「PESTEL」と呼ばれている政治(Politics)、経済(Economy)、社会(Society)、技術(Technology)、環境(Environment)、法律(Law)があります。
また、事業環境の分析では、経営視点で事業に及ぼす影響を測る必要があるため、3C分析、SWOT分析なども用いられます。「事業を守り、継続していく」という観点では、外部環境と事業環境を併せて分析していくのが最近の傾向になっています。
(広告の後にも続きます)
脅威インテリジェンス活用における課題
脅威インテリジェンスはいろいろな用途で活用が広まってきています。その結果、情報と要件の間にギャップがあることがわかってきました。
いろいろと導入してきたものの、「使えない」というような声も出てきています。これは恐らく情報が使えないのではなく、要件との間にギャップがあるのだと思われます。この課題をどう解決していくのかについては、現在さまざまな検討がなされているところです。
方向性として、まずは要件を明らかにする必要があります。それは、「どの情報が欲しいのか?」「どの情報が欠けているのか?」といったものであり、たとえば、「今、何が起っているのか?」「今後、どうなるのか?」「今、何をすべきなのか?」を知りたいはずです。
この要件を決められていない、あるいは明らかにできていない状況が散見されます。要件が不明瞭なままでは、うまくいかないものです。情報を収集するに当たって「何のために使いたいのか?」を明らかにすることが、脅威インテリジェンスを活用するためのポイントだと考えられます。
淵上 真一
日本電気株式会社(NEC)
Corporate Executive CISO兼サイバーセキュリティ戦略統括部長
NECセキュリティ取締役