前回の記事では、自社を取り巻く脅威を捉え、攻撃者に先んじて対策を打つ施策である「脅威インテリジェンス」で得られる価値を紹介しました。
脅威インテリジェンスを活用して価値を得るためには、どのように情報を集めるのかを計画し、目的に沿って活動する必要があります。
本記事では、以下の3つのポイントについて解説します。
- 脅威インテリジェンスで価値を得るための準備にあたる「利用目的の設定」
- 利用シーンに適したインテリジェンスを選択するための「インテリジェンスタイプの分類」
- 脅威インテリジェンスの効果を得るために必要な原則である「脅威インテリジェンスサイクルの構築」
<関連記事>
利用目的の設定
~重要なのは目的の見極めとインテリジェンスサイクルを回すこと~
脅威インテリジェンスを活用することでサイバー脅威の動向、すなわち「風」を読み、時局を読みながらセキュリティ対策を推進することが可能です。
当社のお客様でも、脅威インテリジェンスを活用したセキュリティ対策の推進を目指す動きが活発になっていると感じる一方で、以下のような課題も耳にすることが増えてきました。
既に脅威インテリジェンスサービスもしくはツールを利用したことはあるが有効に使えなかった
単に、インシデント対応チームのための調査サービスになってしまった。(IoC※1だけが届くがどうしたらいいかわからない)
内製化しようとしたが難易度が高すぎる。得られた情報を読み解くことができたり、得られた情報を元にアナリストの観点で追加調査できる人材が社内で不足している
数年続けているが、(よくわからない)同じような報告内容ばかりで自社に関する脅威が得られているかわからない
自社にとって難易度が高い場合は、マネージドサービスを受けるなど外部の有識者の力を借りる必要があります。その他の課題は脅威インテリジェンスに取り組む目的を定め、脅威インテリジェンスへの取り組み方(サイクル)を設計することで改善することができます。
実際の事例はこちらからご覧になれます。
※1IoC(Indicator of Compromise):「侵害の痕跡」「痕跡情報」「セキュリティ侵害インジケーター」などとも呼ばれ、攻撃発生やどのようなツールが使われたかなどを明らかにする手掛かりとなる情報
利用シーンに適したインテリジェンスタイプの分類
~脅威を捉える3つの視点~
経営者に悪性IPアドレスのリストを渡しても何を判断していいのかわからないように、相手に応じて適切な情報を届けなければ有効に利用できなくなってしまいます。せっかくよい情報を収集しても、このようなすれ違いが生じると先に述べた"課題"につながる要因となります。そのため、脅威インテリジェンスでは、誰が何のために利用する情報であるのか、情報の利用目的を定め、目的に沿った情報を届ける(レポートする)ことが重要です。
脅威インテリジェンス側の観点で大きく3つのタイプに分類
情報の利用目的は、脅威インテリジェンス側の視点で見ると大きく3つのタイプに分類されます。詳細は下表に記載しますが、経営層などセキュリティ戦略を考える方向けの戦略的(Strategic)なインテリジェンス、セキュリティ対策を推進する方向けの運用的(Operational)なインテリジェンス、セキュリティオペレーションを実施する人や機器向けの戦術的(Tactical)なインテリジェンスです。
自社で利用目的をある程度検討できたら、どのタイプのインテリジェンスを求めているのかを確認し、情報収集およびレポート(アウトプット)の要件とすることで、インテリジェンスを提供する側と利用する側のすれ違いを防ぐことができます。
インテリジェンスタイプ |
概要 |
情報を活用する人 |
報告タイミング |
戦略的(Strategic) |
・経営層やセキュリティ関連の意思決定を行う層向けのインテリジェンス |
・経営層 ・上級管理職 |
年次など |
運用的 |
・CSIRTやSOC管理者向けのインテリジェンス |
・セキュリティ管理者 |
月次、週次など |
戦術的 |
・運用担当者や情報機器向けのインテリジェンス |
・SOC担当者 ・IT サービス管理者 ・IR担当者 |
日次など ※即時性が重要 |
脅威インテリジェンスサイクルの構築
~脅威インテリジェンスを自社にフィットさせる方法~
情報収集や分析は、数多くの情報から自社に関連や該当する脅威情報を探し出す活動です。その際には、自社に合致した情報(インテリジェンス)のみが報告され、すぐに活用できる状態が理想です。
しかし、取り組み始めの段階から理想的な状態にできる企業はとても少ないです。そのことを理解して、理想的な状態にするための活動として運用(改善)サイクルに取り組むことが、脅威インテリジェンスを活用しその効果をさらに高めるために必要な活動だと考えられます。
脅威インテリジェンスの運用サイクル
脅威インテリジェンスでは、計画(目的などの設定)、検出・情報収集、加工・理解、分析、普及・フィードバックのサイクルを回しながら、日々改善を行うことで脅威インテリジェンスを継続的に活用することができます。
運用サイクルと聞くと、長い期間で1回と考えがちですが、サイクルを回す頻度は、前章(脅威インテリジェンスの目的は?脅威を捉える3つの観点)に記載した報告タイミングを参考に運用サイクルを回すことで、より効果を生みやすい状態になります。なぜなら、日次で報告される内容と月次で報告される内容はそれぞれ違った性質を持ち合わせているので、受け取った収集期間が異なる情報を分析し、都度フィードバックを行うことで運用サイクルのスピードを高めつつ、サイクル全体の効率化にも寄与できるためです。
また、脅威インテリジェンスの効果を高めるために、情報を受け取る側の協力も不可欠です。報告時にただ報告を聞くだけではなく、内容を吟味し都度ディスカッションを行うなど積極的な参加が求められます。このように双方向のコミュニケーションを取ることは、目的や調査内容の見直しなど以降の活動の改善に繋がるため、脅威インテリジェンスの効果を高める取り組みとして有効であると考えられます。
出典:Rebekah Brown and Robert M. Lee. January 2021. 2021 SANS Cyber Threat Intelligence (CTI) Survey.
順序 |
内容 |
説明 |
1 |
計画 (Planning & Requirements) |
計画段階(Planning & Requirements)では、脅威インテリジェンスの目的と範囲、結果の取り扱い方法を設定します。今後を左右する重要なアクションです。
■目的の設定 ・脅威インテリジェンスの成果でどのような成果が得たいのか?(どのような情報を収集したいか)
■範囲(対象)の設定 ・現在把握しているデジタル資産の整理・棚卸
■結果の取り扱い方法の設定 ・対処が必要な情報が発見されたときの対応方針・メンバの主要な役割(責任者=レポートラインも含む)※アウトプットを受け取る人が受け取った後に何をすべきかを定義 ・「基本方針」「対策基準」「実施手順」の整備 ・何を守るかの優先順位の決定 |
2 |
検出・情報収集(Collection) |
検出・情報収集(Collection)の段階では、目的や範囲に沿って情報収集をします。
どのように情報収集するのかが重要であるため、以下の点を押さえる必要があります。 ・1か所からすべての情報を収集することが難しいため、複数の情報収集手段を組み合わせる ・脅威インテリジェンスツールを活用する場合、それぞれのツールの性質(検出分野の得手・不得手など)を確認する ・ツールを利用する場合は、ツールのアウトプットが自社の利用目的や情報入手後の対応体制に合致するかを確認する |
3 |
加工・理解(Processing) |
加工・理解(Processing)の段階では、収集した情報を利用(理解)可能な形式に変換します。
複数の情報ソースや脅威インテリジェンスツールを利用すると、大量のデータ(生データと呼びます)が収集できます。そのデータを利用できるように、適切な形式に加工します。
加工先は「計画段階で定めた目的で使えるフォーマット」になり、加工過程においては「加工対象となる情報の性質の理解」、「分析に必要な要素を損なわず活用可能な形式に情報を変換」、「分析の結果に応じた追加調査」といった専門家による対応が不可欠となります。 |
4 |
分析(Analysis) |
分析(Analysis)の段階では、情報の意味の確認や解釈を進め、インテリジェンスを導出します。
計画段階で定めた目的に沿って、情報を受け取る人に向けた情報の加工の最終段階です。何が重要か、何に注目するべきか、想定されるリスクや対処は何か、推奨される対応等を分析し、報告相手が理解しやすい形式(フォーマット)でまとめます。
計画段階で考慮されているべき点ですが、この工程においても、先述した「経営者に悪性IPアドレスのリストを渡しても何を判断していいのかわからない」としないために、報告フォーマットや内容に注意することが重要です。
また、情報を扱えるようにするための深堀調査は前工程で実施してあるものの、分析を進める中で更に追加の調査が必要になることもあります。 |
5 |
普及・フィードバック(Dissemination) |
普及&フィードバック(Dissemination)の段階では、分析結果を報告し、改善に向けたフィードバックを受け取ります。
分析まで完了した情報(インテリジェンス)を報告します。先述した3つのインテリジェンスタイプ:戦略的(Strategic)、運用的(Operational)、戦術的(Tactical)に応じて、報告タイミングやアウトプットが異なることを理解しておく必要があります。
例えば、フォーマットに関しては、戦略的(Strategic)は報告先が上級職向けであるため報告書形式が望ましい、運用的(Operational)は報告先が技術的にも明るいメンバであるため、必要な情報のみを記載し詳細は口頭説明でよい、戦術的(Tactical)は報告先というよりもセキュリティ機器で利用するためメール通知のみでよい等があります。
頻度に関しても、重大なセキュリティインシデントに繋がる可能性のあることが察知されたら、フォーマットは一旦置いておいて、緊急報告がほしい(報告書形式でまとめるよりも即時性が重要)等もあるなど、計画段階で考慮していればよいですが、期待する報告形式を確認しておく必要があります。 |
まとめ
本記事では脅威インテリジェンスを活用して価値を得るために重要な計画や運用サイクルを紹介しました。
脅威インテリジェンスは、得られた情報を活用する体制(組織)や目的によって取り組み方を変える必要があるため、自社に適合する形を検討することが重要です。
また、インテリジェンスタイプを分類して紹介しました。脅威インテリジェンスへの取り組みに戦略的な観点も含まれるようになり、組織のセキュリティ戦略の策定まで利用できる状況となったら、猛烈なスピードで変化するサイバー脅威に戦略的に対抗できている状態となります。
<関連サービス>
IntSights 脅威インテリジェンスサービス
Recorded Future 脅威インテリジェンスサービス