EN

NRIセキュア ブログ

脅威インテリジェンスの運用を内製化するコツ|「自分たちの会社は自分たちで守る」という強い意志

目次

    blogtop

    2022年にNRIセキュアテクノロジーズ(以下、NRIセキュア)が提供する『マネージド脅威情報分析サービス』の利用を開始したシスメックス株式会社(以下、シスメックス)は、2023年5月に脅威インテリジェンス運用の内製化に取り組み始めました。

    脅威インテリジェンスサービスの運用は、サイバーセキュリティ対策におけるソリューションとしては、高度な知識を持つ外部の専門家に委託する方が負荷も少なく、選択肢の一つとなるでしょう。しかし、シスメックスでは、自社で運用を内製化することを選択しました。

    前回のブログに続いて、シスメックスのSysmex-CSIRTでセキュリティ対策に取り組んでいる井尻盛太氏と、脅威インテリジェンス運用の内製化支援にあたったNRIセキュアのディーンに、脅威インテリジェンス運用内製化のポイントを尋ねました。

     

    <関連記事>

     

    自社単独では把握できない攻撃動向や兆候を脅威インテリジェンスで把握

    fig-7862

    Q:脅威インテリジェンスサービスの活用を検討した理由は何でしょうか。
    井尻:シスメックスには70余年にわたって培ってきた多くのノウハウや知的財産があります。それらを守るため、日本人以外のメンバーも含むSysmex-CSIRTを立ち上げました。各国拠点との情報連携、共有をいかに密に行うかを意識して活動し、海外販社の担当者と合同でサイバー机上演習を実施するなど、さまざまな取り組みを進めています。

    私たちの戦いに終わりはありません。単純にツールを入れ、多層防御を講じて終わり、CSIRTを作って終わりではなく、常に攻撃のトレンドを踏まえながら対策し続ける必要があります。それには地政学的なリスクも含め、いまどのような脅威があるのかという「風」を読む手段が必要だという前任者の考えもあり、脅威インテリジェンスを導入することにしました。
    Q:最初は他社が提供するマネージドサービスの利用から始めたのはなぜですか。
    井尻:脅威インテリジェンスを活用すれば、我々単独では把握できない攻撃の動向や情報漏洩の兆候を把握できます。しかし、いきなり自分たちで活用するのはハードルが高いと感じていました。そもそも脅威インテリジェンスを使った監視とは日々どのように行うのかを、まず横目で見て、理解したいと考え、段階を踏んで進めることにしました。事実、最初に手厚いサポートをいただきながら運用したのは、内製化に向けた良いステップになったと考えています。

    NRIセキュアさんからも、まずはマネージドサービスを導入して徐々に運用に慣れ、ナレッジを移転した上で最終的に内製化するという3年計画の提案をいただき、2022年から計画をスタート、2025年の内製化を目指して、2022年にNRIセキュアの『マネージド脅威情報分析サービス』を導入しました。
    Q:工数や手間がかからないという意味では、マネージドサービスの方がメリットがあるように思います。それでもなぜ内製化が必要だと考えたのでしょうか。
    井尻:

    マネージドサービスでは、発見された事項と対処に関する連絡をその都度いただけます。NRIセキュアのマネージドサービスを一年間利用し、端的にいって満足していました。

    ただ、CSIRTとして各国拠点と情報を共有し、対処を依頼していく立場としては、「どういうきっかけで脅威を見つけ、なぜ対処が必要だと判断したのか」を自分たちできちんと理解しておく必要があると思っていました。

    同じ画面を見ながら二人三脚、ノウハウを移転した上で運用を内製化

    fig-8073

    Q:内製化に当たって、どのような課題がありましたか。
    井尻:一番不安だったのは、リスクの深刻度を判定するトリアージの部分でした。『マネージド脅威情報分析サービス』では、発見された事象について、NRIセキュアさんが「中」「高」といったリスクを付けて提供してくれます。果たして自分たちが適切にその判断を下せるだろうかという心配がありました。
    Q:その課題をどのように乗り越え、内製化を進めていったのでしょうか。
    井尻:

    NRIセキュアから二種類のトレーニングを提供していただきました。

    一つは脅威インテリジェンスの基礎知識に関するトレーニングです。脅威インテリジェンスとはどのようなもので、どういった情報が得られるのか、そして得られた情報をどうするのかといった事柄について、ある程度シスメックス用にカスタマイズを加えたトレーニングメニューを受けました。

    もう一つは、トレーニングというより運用支援に近い内容です。マネージドサービスから内製化に移行するタイミングで、三ヶ月間、一緒になって運用を見ていただきました。

    我々が日々監視しているコンソールやアラートと同じものをディーンさんたちにも見てもらい、一週間に一回程度のペースでミーティングを行い、「見つけるべき脅威を見つけられているか」「見つかった事象のリスクを正しく判断できているか」の答え合わせを行いました。こうした経験を通して、「これなら自分たちでもある程度できそうだ」と自信を付けることができました。非常に有意義な三ヶ月だったと思っています。

    ディーン:

    こうした支援が可能だった背景の一つとして、その前の1年間、『マネージド脅威情報分析サービス』を通じて「シスメックス様ではどんなアラートが出た場合にどう対処するか」というナレッジをデータベース化し、蓄積していたことが挙げられます。1年間の運用を通して、シスメックス様ならではの優先順位や判断基準を織り込んだ上で、どう対応すべきかの指針がある程度固まっていたからこそ、適切な判断支援を行うことができました。さらに、三ヶ月間の中で少しずつ判断のギャップを埋めていき、最終的に自社運用をスタートしました。

    Q:三ヶ月間、二人三脚で同じ画面を見ながら判断を下していった中で、新たに得た気付きや視点などはありましたか。
    井尻:

    やはり多くの企業の支援を通して数をこなされているからこそ、NRIセキュアさんはこれまでの知見や経験がパターン化できており、迅速に判断を下せるのだなと思いました。またディーンさんが専門家としてディープウェブやダークウェブの知見を多く持っているため、一見関係ないように見える情報でも、トレンドや背景も含めてアドバイスをいただくことができ、広い視点を持つ必要性も感じました。

    ディーン:

    脅威インテリジェンスのノウハウに関して、シスメックス様には非常に早いスピードでキャッチアップしていただきました。『マネージド脅威情報分析サービス』の提供時もそうでしたが、わからない事柄を明確にした上で具体的に質問をいただけたので、こちらもやりやすく、きちんとノウハウをトランスファーできたと思います。トリアージの結果を見比べていく中でどんどんギャップを埋めることができ、最終的には「シスメックス様なら大丈夫」と、しっかり自社運用で進められると確信して三ヶ月間の支援を終えることができました。

    自分たちの会社は自分たちで守る、CSIRTとしてより専門的な対応を実現

    fig-7902

    Q:世の中でも脅威インテリジェンスサービスに対する関心が高まっています。マネージドサービス、そして内製という二つの形で運用された立場から、どのようなメリットがあると評価していますか。
    井尻:

    具体的に「こんなインシデントを未然に防げた」という例があればいいのですが、今のところそうしたケースはありません。ただ、仮に何らかのリスクが顕在化しても、会社に対する影響を最小限に抑えられると信じて取り組んでいます。

    ディーン:

    私は5年ほど脅威インテリジェンスに関わっていますが、費用対効果を見せるのはなかなか難しい分野だとは思います。ただ少なくとも事実としてシスメックス様では、PoCにはじまり、マネージドサービス、そして内製化という形で脅威インテリジェンスを導入してからこれまでのところ、大規模なセキュリティ事故は起きていません。

    もちろん、事故が起きなかったのは100%脅威インテリジェンスのおかげかというと、そうは言い切れませんが、他社では、脅威インテリジェンスを活用し、漏洩した情報を早期に把握して各拠点で対応していくことで、大きなセキュリティ事件の発生を抑えているケースはあります。

    Q:内製化すれば、その分工数や手間、人的コストがかかるのも事実ですよね。
    井尻:

    上層部もそこは心配していました。しかしそれ以上に、自分たちで判断を下し、タイムリーに対応していきたいという思いを説明することで理解を得ることができました。

    やはり、単にアラートを受けて裁くだけでは、CSIRTとしての価値が薄いのではないかと私は思っています。CIRSTのメンバーにも専門性を持った対応が求められていくと思っており、脅威インテリジェンスの活用はその一つだと思っています。

    ただ、今は脅威インテリジェンスのツールから出てきたアラートを一つ一つ愚直に見て、「これは関係ない」「これはもう少しちゃんと見た方がいいからリストに加えておこう」といった判断を下しています。数がそれなりに多いため、この先、もう少し効率的に進める方法を検討すべきかもしれません。

    ディーン:

    シスメックス様でこの先必要な取り組みを挙げるとすれば、運用体制を持続し、拡大していくための業務フローの標準化でしょう。「こんなアラートが出たらこう判断し、こういう決断を仰ぐ必要がある」といったノウハウが固まっていけば、この先、人の入れ替わりや追加があった時でも継続していけると思います。

    井尻:

    現時点ではそこまでリソースが潤沢ではないため現メンバーでやりくりしていますが、おっしゃる通り、この先新たなメンバーが加わってもスムーズに対応できるよう、ドキュメントの整備や、背景として必要になる脅威インテリジェンスに関する知識を持つ人材の育成にも取り組んでいかなければならないと思います。

    Q:そうなると、専門性を高めていくCSIRTとNRIセキュアのような専門家とでは、どのように役割分担をしていくべきでしょうか。
    井尻:

    我々事業会社としては、高い専門性を持つNRIセキュアのような会社に頼る部分はあると思っています。たとえば、脅威インテリジェンスで見つかった事象に関して、時にはダークウェブ、ディープウェブの背景情報も踏まえながらより深く調査するといった部分は、やはり我々には難しく、サポートしていただけると助かります。

    一方で、自分たちの会社は自分たちで守っていかなければなりません。そのモチベーションを持ちつつ、自分たちの専門性を高めながら取り組んでいくことが、社内CSIRTには求められると思います。これからもそうした意識を持ち、NRIセキュアの支援も活用しながら対策を進めていきます。