「ムダだった」と思わないために 脅威インテリジェンスにお金を払う前にすべきことCybersecurity Dive

脅威インテリジェンスを有効に活用して防御を構築するためには、まず何から始めればいいのだろうか。組織及びCISOがやるべきことをまとめた。

» 2023年09月17日 08時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 脅威インテリジェンスはかつてないほど豊富になっている。防御者が潜在的な脅威を発見、準備、対抗するために利用できる情報を見つけるのは難しくないが、それらは断片的に存在している。

 公的な取り組みとして、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)をはじめとする連邦政府機関が定期的に勧告を発表し、組織に対する悪意のある活動について警告している。民間企業の取り組みとしては、脅威インテリジェンス企業が毎月、最も一般的でユニークな脅威に関する数千ページものデータと分析を有料で公開している。

 CISO(最高セキュリティ責任者)やセキュリティ担当者はそれら全ての情報を理解しようとしており、調査企業やサイバーセキュリティ機関から情報を集めている。しかしこれらの分断された洞察を具体的な結果をもたらす行動に結び付けることは容易ではない。

必要なのは、分断された脅威インテリジェンス情報の統合

 セキュリティ企業のArctic WolfのCISOであるアダム・マレ氏は、「Black Hat USA 2023」におけるインタビューで「脅威に関するレポートの多くは有用だが、それらの情報を一元化したデータベースがあり、誰もがそこから情報を得て、独自のインテリジェンスを構築できるようになれば、より便利になるだろう」と述べた。

 マレ氏は「お互いから学び、目にしている攻撃からより多くを学べれば、私たちのサイバーセキュリティは格段に向上する」とも述べている。

 脅威インテリジェンスの断片化は、攻撃者よりも企業を不利な立場に置くことになる。侵害の指標は共通の言語に従っているわけではなく、名称の分類法も調査企業によって異なるため、アナリストが同じ攻撃者の活動について説明しているかどうかの判断も難しくなる。

 CrowdStrikeでCounter Adversary Operationsの責任者を務めるアダム・マイヤーズ氏は「脅威インテリジェンスに対する投資の費用対効果や価値をCISOが理解するのは難しい。脅威インテリジェンスへの投資は通常より多くのリソースを持つ組織のためのものだ」と語った。

 サイバー脅威インテリジェンス産業は数十億ドルの規模だ。企業の意思決定を支援する情報を提供するFortune Business Insightsによると、2023年の市場規模は約50億ドルに達し(注1)、2030年までに180億ドルを超えると予測されている。

 CrowdStrikeをはじめ脅威に関する情報の収集および分析を実施する企業は、さまざまなレベルの調査を提供している。これには外部の攻撃対象領域(アタックサーフェス)の管理やダークWebのモニタリング、盗まれた認証情報、数百の攻撃者に関する詳細なレポートが含まれており、攻撃者がどのように活動し、誰を標的とし、標的となる組織が同業他社と比較してどのような状態にあるのかについても説明されている。

脅威インテリジェンスはどこから始めるべきか

 マイヤーズ氏は「脅威インテリジェンスにどのように取り組むべきか分からない組織の多くは、過去に悪い経験をしており『取り組みを無駄だ』と結論付けてしまう。しかし実際には、彼らは初心者用コースから始めるべきなのに、オリンピックスキーをしようとしているだけだ」と語る。

 「初心者用コースにいること自体に問題はない。最終的には難しいコースに行くことになるが、プロセスを構築および開発し、人材を育て、同時に外部の情報も取り入れる必要がある」(マイヤーズ氏)

 多くの組織にとって最も有益な出発点は社内にある。

 セキュリティ企業のReliaquestのバイスプレジデント兼CISOであるリック・ホランド氏は「インテリジェンスに関する最良の情報は、自社のインシデントから得られる。組織は脅威インテリジェンスに対して1ドルを費やす前に、内部データを適切に調査する必要がある」と言う。

 組織は多くの場合、ログを設定していないか、ログのバックアップを取っていないため、攻撃者がどのようにシステムに侵入したかを確認できない。

 ホランド氏は「既知のセキュリティ侵害インジケーター(IoC)の監視は最低限必要だが、攻撃者がどのようなツールやコマンドを使用し、どのようにネットワーク内を移動しているかを理解するためには戦術や技術、手順が役に立つ」と述べている。

 「お金をかける前にまずは内部で人とプロセスを整え、その後に不足を埋めるために外部の商品やサービスを利用すべきだ。多くの人は、自社に何が不足しているかすら把握していない」(ホランド氏)

© Industry Dive. All rights reserved.