今回から5回にわたり(隔月寄稿)、企業へのサイバー脅威インテリジェンスの提供や事業環境におけるセキュリティ面から見たアドバイスでご活躍の株式会社サイント 代表取締役 岩井 博樹氏が、経営の視点からリスク対策の検討材料として脅威インテリジェンスを活用する方法を解説する ”脅威インテリジェンスが切り拓く未来のリスク管理“ シリーズを掲載します。ご期待ください。
近年、あらゆる資産や情報がデジタル化し、インターネットが社会インフラの一部となったことで、国家間における諜報活動や民間企業の機微情報の窃取、社会インフラの破壊といった不正行為が世界的に横行するようになりました。筆者の感覚的なものもありますが、近年の脅威アクターの増加に伴い、脅威はさらに増大傾向にあると予想されます。このような背景もあり、諸外国では脅威インテリジェンスを活用し、可能な限りの脅威アクターの活動状況や攻撃手法、専門家の脅威予想などを把握し、被害の最小化を図る運用が主流となってきました。
脅威インテリジェンスとは
脅威インテリジェンスとは、米NISTの定義によれば「意思決定プロセスに必要なコンテキストを提供するために、集約、変換、分析、解釈、または強化された脅威の情報」とのことです。つまり、サイバー空間における脅威インテリジェンス(以降、CTI)においては、攻撃キャンペーンの戦略や戦術、攻撃手順などがそれに当たります。また、脅威アクターのより上位の戦略的側面で分析を行うならば、攻撃者像、攻撃目的などがそれに当たると言えます。一方で、マルウェアのハッシュ値やC2サーバのIPアドレス、ドメインを示すIoC(Indicator of Compromise)は、これらの分析に必要な材料に当たるため、上述の解釈とは異なることが分かります。
提供先により異なる解釈
この脅威インテリジェンスの定義の肝は、「集約、変換、分析、解釈、または強化された」の表現です。インテリジェンスの作成者の提供先は誰をイメージしたのかにより、提供内容のニュアンスは異なる可能性があることを知っておく必要があります。これは、公開情報より得られるOSINT(Open Source Intelligence)も同様であり、万人に向けて公開しているとしたら、それは何らかの目的がある可能性を肝に銘じておくべきです。それは、企業のマーケティングかもしれませんし、特定国、地域をターゲットとした印象操作である場合もあります。
CTIの必要性と扱いの困難性
改めて説明する必要は無いと思いますが、脅威インテリジェンスを入手しておけば、近い将来のリスクに備えられ、場合によっては未解決の脆弱性情報や、未公開の脅威への対応が可能となるかもしれません。一般的には、そのような期待を持つのでは無いでしょうか。
ただ、実際にはそんなには上手く行きません。セキュリティ業務に長く携わっている担当者やCISOの方は経験があるかもしれませんが、多くの組織においてサイバー攻撃の被害情報は組織において「機微」に当たるため、公開されるケースは意外に少ないものです。もし、「セキュリティベンダーや他社のCSIRTと仲良くしているので、いつも鮮度の高い脅威情報は入手できているし、脅威インテリジェンスは不要」と考えているセキュリティ担当者がいるのであれば、それは相手側も話を合わせていると思っておいた方が良いかもしれません。ちなみに、このことは諸外国の組織においても同様です。例えば、2021年5月に発生した、APT41による米国政府への攻撃情報の詳細が公開されたのは2022年3月です。リアルタイムに報告を受けたのは、一部の組織(有償サービスの購入者を含む)のみです。このことからも、無償の公開レポートのみで”現状”の脅威を入手することは、実際のところ難しいことが分かります。
CTIの活用により、その効果に対して期待を持つ内容は組織や個人により様々だと思いますが、概ね次のようなものが含まれるのではないでしょうか。
セキュリティ運用への落とし込みの勘所
まず、CTIのセキュリティ運用への活用は、1や2を目的として分析材料として活用したIoCに注目するのが一般的です。しかし、それだけで安心してはいけません。あくまで提供される脅威インテリジェンスに関連するIoCは、「確認された脅威」のうちの「公開可能な情報」のみです。そこで、例えば次のステップを踏むことで、より効果の期待できる情報が得られるかもしれません。
ステップ1:未掲載のIoCの入手
もし、入手したCTIレポートに関連の攻撃キャンペーンの情報が記載されているのであれば、関連情報を合わせて運用に活用します。そのため、有償サービスを利用されているのであれば、サービス提供元に照会をかけておきます。(海外サービスを代理店経由で購入している場合などは、詳細を得られない場合がありますので注意が必要です。)なお、これらの情報は、大概は過去情報ですので現状脅威と考えてはいけません。
ステップ2:未開示情報の照会
多くのCTIに関わる分析を行う組織では、リアルタイムに調査を実施している場合が殆どです。そのため、CTIレポートなどに「現在調査中」を仄めかす記載があるならば、併せて照会してみるのが得策です。これらが、現状の脅威情報にあたります。
経営への落とし込みの勘所
次に、3についてですが、これはセキュリティ意識高めの経営層が欲している情報となります。特に先端技術を扱う企業において、ライバル企業による知財の盗用が10年先の事業へ与える影響は容易に想像のつくものです。得意な事業領域では売上が立たなくなれば、いずれは国外企業に事業買収される、なんてことは昨今の不安定な世界経済や社会情勢を考えますとあり得ない話ではないかもしれません。そのために、企業経営者がCTIより読み解かなければならないのは、例えば、次のような点が挙げられます。
特に最後の「お得意様」の話は意外に思うかもしれません。これは、お得意様の国は、いずれ貴社の事業内容を内製化する可能性があることを考えおく必要がある、ということです。本稿では詳細は割愛しますが、これは某国を観察していれば、分かりますよね。加えて、中国のスパイ作戦「千粒の砂」のようなケースも常に想定しておくべきです。
本稿では、脅威インテリジェンスの活用をテーマに、筆者の思うところを綴らせて頂きました。限られた情報から将来的なサイバーリスク、経営リスクを読み解くことは困難です。そこで、これらのリスク対策の検討材料として脅威インテリジェンスを活用することで、何らかのリスク緩和のためのヒントが得られるかもしれません。ぜひ、IoCの抽出だけの近視眼的活用だけに留まらず、折角なら中長期まで見据えて経営戦略にまで活用して貰いたいと思います。
Author :
株式会社サイント
代表取締役
岩井 博樹氏