結局、どう使う？ サイバー攻撃の「脅威情報」を有効活用、正しく対策：ニューノーマル時代のセキュリティ（2/2 ページ）

[村上純一（PwCコンサルティング合同会社），ITmedia]

　この前提で、初めに自組織のCSIRTがサイバーセキュリティ対策のどの機能を担うのかを明らかにする必要がある。例えば、NIST CSFの一要素である「特定」を考えた場合、IT資産管理が各業務部門に分散しているケースもあれば、必要な情報がCSIRTにより管理されているケースも考えられる。

　「対応」「復旧」についてもCSIRTが中心になるケース、インシデントが発生した事業部門が中心となるケース、インシデントに応じて組成された対応組織が中心となるケースなどが考えられる。まずはCSIRTが行う活動において存在する課題、高度化が必要となる項目を明らかにし、以下のような分析の目的を設定する必要がある。

• 自組織のビジネス戦略に基づいて採用するITに対してどのような攻撃が行われているのか、想定されるのかを明らかにする。これにより「防御」「検知」の仕組み、対応体制を準備する。
• 自組織の資産管理から漏れているシャドーITを特定する。これにより、シャドーITへの対策を促す。
• 自組織に関する漏えい情報、漏えい時期、漏えい元を特定する。これにより、見逃していたインシデントを特定し、被害範囲の把握、原因究明、再発防止策を実施する。また、外部サイトからの情報流出の場合は、利用サービスの見直し、選定基準の改訂などを促す。
• 同業他社を狙った最新の攻撃手法を把握する。これにより、導入すべき検知、防御の仕組みを明らかにし、対策を実施する。
• 日々発見される脆弱性について、実際に自社への攻撃が想定される脆弱性を特定する。これにより、当該脆弱性について例外的な対処を行う。

　上記の例は現実には一筋縄ではいかず、課題として認識されているものの、改善されないまま放置されていることも少なくない。スレットインテリジェンスは「自組織の意思決定のための知見」である以上、自組織固有の特性を含んでおり、異なる組織間で共通して活用できることはあっても、それが一般化されることはない。「目の前にある情報をどう有効活用するのか」ではなく、問いに相当する「分析の目的」の設定と、その答えに相当する「実装と運用」のサイクルを継続的に回し、双方のレベルを段階的に上げていくことが必要だ。

著者：村上純一

PwCコンサルティング合同会社　テクノロジーコンサルティング デジタルトラスト ディレクター。

国内大手のセキュリティベンダーにてマルウェアの収集・分析などに関する研究開発、脅威分析、脆弱性診断、トレーニングなどの業務に従事。その後、創業メンバーとして国産セキュリティベンダーの立ち上げに参画し、執行役員として基礎技術開発、製品開発、各種セキュリティサービス提供、事業経営などに携わり株式上場を経験。また、サイバーセキュリティ領域における各種外部委員活動、BlackHat、PacSec、AVARなど、国際会議での研究発表も行っている。