「ムダだった」と思わないために 脅威インテリジェンスにお金を払う前にすべきこと:Cybersecurity Dive
脅威インテリジェンスを有効に活用して防御を構築するためには、まず何から始めればいいのだろうか。組織及びCISOがやるべきことをまとめた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
脅威インテリジェンスはかつてないほど豊富になっている。防御者が潜在的な脅威を発見、準備、対抗するために利用できる情報を見つけるのは難しくないが、それらは断片的に存在している。
公的な取り組みとして、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)をはじめとする連邦政府機関が定期的に勧告を発表し、組織に対する悪意のある活動について警告している。民間企業の取り組みとしては、脅威インテリジェンス企業が毎月、最も一般的でユニークな脅威に関する数千ページものデータと分析を有料で公開している。
CISO(最高セキュリティ責任者)やセキュリティ担当者はそれら全ての情報を理解しようとしており、調査企業やサイバーセキュリティ機関から情報を集めている。しかしこれらの分断された洞察を具体的な結果をもたらす行動に結び付けることは容易ではない。
必要なのは、分断された脅威インテリジェンス情報の統合
セキュリティ企業のArctic WolfのCISOであるアダム・マレ氏は、「Black Hat USA 2023」におけるインタビューで「脅威に関するレポートの多くは有用だが、それらの情報を一元化したデータベースがあり、誰もがそこから情報を得て、独自のインテリジェンスを構築できるようになれば、より便利になるだろう」と述べた。
マレ氏は「お互いから学び、目にしている攻撃からより多くを学べれば、私たちのサイバーセキュリティは格段に向上する」とも述べている。
脅威インテリジェンスの断片化は、攻撃者よりも企業を不利な立場に置くことになる。侵害の指標は共通の言語に従っているわけではなく、名称の分類法も調査企業によって異なるため、アナリストが同じ攻撃者の活動について説明しているかどうかの判断も難しくなる。
CrowdStrikeでCounter Adversary Operationsの責任者を務めるアダム・マイヤーズ氏は「脅威インテリジェンスに対する投資の費用対効果や価値をCISOが理解するのは難しい。脅威インテリジェンスへの投資は通常より多くのリソースを持つ組織のためのものだ」と語った。
サイバー脅威インテリジェンス産業は数十億ドルの規模だ。企業の意思決定を支援する情報を提供するFortune Business Insightsによると、2023年の市場規模は約50億ドルに達し(注1)、2030年までに180億ドルを超えると予測されている。
CrowdStrikeをはじめ脅威に関する情報の収集および分析を実施する企業は、さまざまなレベルの調査を提供している。これには外部の攻撃対象領域(アタックサーフェス)の管理やダークWebのモニタリング、盗まれた認証情報、数百の攻撃者に関する詳細なレポートが含まれており、攻撃者がどのように活動し、誰を標的とし、標的となる組織が同業他社と比較してどのような状態にあるのかについても説明されている。
脅威インテリジェンスはどこから始めるべきか
マイヤーズ氏は「脅威インテリジェンスにどのように取り組むべきか分からない組織の多くは、過去に悪い経験をしており『取り組みを無駄だ』と結論付けてしまう。しかし実際には、彼らは初心者用コースから始めるべきなのに、オリンピックスキーをしようとしているだけだ」と語る。
「初心者用コースにいること自体に問題はない。最終的には難しいコースに行くことになるが、プロセスを構築および開発し、人材を育て、同時に外部の情報も取り入れる必要がある」(マイヤーズ氏)
多くの組織にとって最も有益な出発点は社内にある。
セキュリティ企業のReliaquestのバイスプレジデント兼CISOであるリック・ホランド氏は「インテリジェンスに関する最良の情報は、自社のインシデントから得られる。組織は脅威インテリジェンスに対して1ドルを費やす前に、内部データを適切に調査する必要がある」と言う。
組織は多くの場合、ログを設定していないか、ログのバックアップを取っていないため、攻撃者がどのようにシステムに侵入したかを確認できない。
ホランド氏は「既知のセキュリティ侵害インジケーター(IoC)の監視は最低限必要だが、攻撃者がどのようなツールやコマンドを使用し、どのようにネットワーク内を移動しているかを理解するためには戦術や技術、手順が役に立つ」と述べている。
「お金をかける前にまずは内部で人とプロセスを整え、その後に不足を埋めるために外部の商品やサービスを利用すべきだ。多くの人は、自社に何が不足しているかすら把握していない」(ホランド氏)
関連記事
“地味に嫌な”サイバー攻撃の手口が流行の兆し まずは知ることから始めよう
サイバー攻撃は日々高度化、複雑化しており、想像もつかないような手口で私たちをだまそうとしてきます。今回はJPCERT/CCが注意喚起している奇妙な攻撃について紹介します。
Teamsのセキュリティ機能が“通用しない”マルスパムキャンペーンが増加中
TruesecはTeamsを悪用するマルスパムキャンペーン「DarkGate Loader」が増加していると報告した。このキャンペーンはTeamsのセキュリティ機能では対応困難であると指摘している。
インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。
中小企業がゼロから始めるセキュリティ対策 ココだけは死守したい3つのリスク
サプライチェーン攻撃が激化している今、予算やリソースに余裕がない中小企業はこれにどう立ち向かうべきか。中小企業のセキュリティインシデント被害事例と、実態に即した対策を川口設計の川口 洋氏が語った。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- プロンプト作成は「ヒトに残された」仕事か? それともただの「時間の浪費」なのか
- Chromeバージョン124がハイブリッド量子暗号化機能をデフォルトで有効化 ただし不具合報告も
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- プログラミング言語「R」に任意コード実行の脆弱性 悪用の可能性あり更新を
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 英国政府が新法を施行 スマートデバイスで脆弱なデフォルトパスワードを禁止
ITmediaはアイティメディア株式会社の登録商標です。