「ひろがるインテリジェンス主導のセキュリティ- セキュリティインテリジェンス導入の最新動向 -」

＜はじめに＞

昨今、メディアでサイバー攻撃に関連するニュースを目にしない日はない。これらの攻撃は、重要インフラや大企業といった我々の生活に直接関わるような企業・団体にも及んでいる。加えて最近では、サイバー攻撃が戦争に使われる事例を、我々は目の当たりにしてきた。ロシアのウクライナへの侵攻以来、ロシアはウクライナに対してサイバー攻撃を日常的に行っている。いわゆるハイブリッド戦争だ。

ここからいえるのは、地政学上のリスクがそのままサイバーのリスクになっていること、さらに経済・経営に影響を与えるリスク要因が増えてきているということである。こうした状況にあっては、高度化するリスクに対してビジネスへのインパクトを最小化することがリスクマネジメントにおける最大のチャレンジであるというように我々は考えている。

リスクの高度化という背景と時を同じくして、脚光を浴びているのが本日のテーマでもある脅威インテリジェンスだ。もっとも我々としては脅威インテリジェンスはセキュリティインテリジェンスの一部であるととらえているため、以下セキュリティインテリジェンスという言葉も併用しながら説明を続けられればと思う。

＜なぜ脅威インテリジェンスが必要なのか＞

昨今、脅威インテリジェンスは情報セキュリティフレームワークにおいて重視されるようになってきた。グローバルな企業を対象とした調査では、2021年時点で、すでに85パーセントの企業が何らかの形で脅威インテリジェンスの導入を進めているというデータがでている。国内企業に限ってもすでに20～30パーセントの企業が導入済みと回答している。では、なぜ今、脅威インテリジェンスの導入が急速に進んでいるのだろうか。それを理解するためには、脅威インテリジェンスが求められる背景、すなわち我々をとりまくリスクについて理解を深める必要がある。

セキュリティ上のリスクは、大きく分けて資産、脆弱性、脅威の3つの関係で説明されることが多い。そして、現在これらのリスクはいずれも拡大・高度化している傾向にある。たとえば脅威については、高度化している、攻撃者優位の状況が続いているという認識はすでにみなさまの共通認識になりつつあるだろうと思う。また、資産という点では、DXやリモートワークの普及によって自社の中にあった資産が外部に出て行く、クラウドのような自社の資産ではないサービスを使って社内インフラを整える、といった傾向によって、攻撃対象が拡大している。シャドーITの問題もある。こうした資産の増加に伴い、自社の資産を正確に把握することが難しくなり、さらに攻撃対象となる資産の範囲も拡大している。また、脆弱性についても近年問題が深刻化している。攻撃者は資産の脆弱性をついて攻撃を行うわけだが、脅威の原因となる脆弱性の数は急速に増加しており、その全てにパッチ適用を実施するのが不可能な状況になっている。

＜従来のリスクマネジメントと脅威インテリジェンスの役割分担＞

このように、資産、脆弱性、脅威が拡大していることから、企業にとってリスクマネジメントは非常に難しいものになっているというのが実情だ。従来のリスクマネジメントは、既知の事柄を対象にしている。資産を洗い出した上で資産の重要度に応じて脆弱性対策を行うアプローチ、すなわち本来あるべき姿と現在の状況のギャップに注目して対策を行う手法が主流である。このアプローチは抜け漏れなく網羅的な対応ができ、また同一のフレームワークに則れば他組織との比較も可能になる、という点で優れたものだ。

しかし、先ほども説明したとおり、状況の急激な変化に伴い、網羅的に対応を行うことは現実的な手段とはいえなくなっている。それはつまり、リスクマネジメントの従来の手法だけでは対応できなくなってきているということだ。

このような状況下で、発生するリスクに予防的に対処するという形でリスク管理を高度化することが求められるようになった。そこで生まれたのが、脆弱性の手前にある脅威にフォーカスを当てて対策を行うというアプローチである。脆弱性対策では広範囲に、抜け漏れなく対応することが求められることから、限定されたリソースで対応することが難しい。そこで、脆弱性の前にある脅威に絞って対策を行うことで少ないリソースで最大限の効果を出そうという発想が生まれた。

このアプローチのポイントは、脅威を知って対応方法を導きだし、それに則って対応を行うという点にある。そうした対応に必要となる脅威に関する情報を収集し、整理するために使うものが脅威インテリジェンスである。もちろん、これまでのアプローチがすべて脅威インテリジェンスに置き換わるというわけではない。内部の資産を守るためには従来のアプローチを、外部から入り込む未知の脅威については脅威インテリジェンスを、といったように適材適所で使い分けることが重要だ。

＜脅威インテリジェンスの導入を成功させるために＞

インテリジェンスは、ある目的を達成するために、その目的のオーナーである組織や責任者を支援するための情報である、という定義がなされる。したがって脅威インテリジェンスの導入を成功させるためには、まずは誰が何のために使うのかという導入の目的を明確にすることが重要だ。もっとも実際には、脆弱性管理、セキュリティ運用といった、個別課題を解決するために使い、その後全体戦略に広げていくというアプローチがうまくいきやすいだろう。

たとえば、セキュリティ運用に関する課題の解決については、脅威インテリジェンスは脅威情報の収集、収集した情報などを活用した監視の自動化、起こり得るインシデントの予測といった点で威力を発揮する。最終的に達成したいゴールに必要なインテリジェンスを知り、また実際の活用経験を積むことで得られた気づきを自社の運用に役立てるインテリジェンス・サイクルの確立が望ましい。

また、脅威インテリジェンスは情報収集して終わりという性質のものではなく、集めた脅威情報などをもとに実際にアクションを起こさなければ意味がない。したがって、実際にインテリジェンスを活用するためには、人や組織にアクションを促すための説得力を持たせることが重要だ。そこで、脅威インテリジェンスには情報の量はもちろんのこと、情報の処理能力、データの処理能力、分析結果に説得力を持たせるための根拠・裏付けといったものが必要となる。

Recorded Futureが提供している脅威インテリジェンスは、戦略・戦術・運用という脅威インテリジェンスの領域すべてをカバーするソリューションとなっている。さまざまな情報をリアルタイムで収集し、情報レポートの形で整理した状態でインテリジェンスを入手可能である。他社のSIEM、SOARなどに統合することも可能で、実際にアクションを促す形でのインテリジェンスの提供を行なっている。セキュリティ運用の効率化・高度化を目的として、すでに多くの企業が活用している。

＜おわりに＞

脅威インテリジェンスにはコスト削減につながるというメリットもある。脅威の発見率やセキュリティの管理効率の向上につながるだけでなく、高度な作業もまだ経験の少ないアナリストに任せられる様になり、高度な人材に高負荷な作業が集中することを抑えたり、そうした作業を内製化することで、結果的に人件費削減効果も期待できるといった調査結果もでている。

脅威インテリジェンスは日々進歩を続けており、機能の充実によって解決できる課題も増えている。今後、ぜひ貴社のセキュリティ確保のために脅威インテリジェンスを活用いただければ幸いだ。

◆講演企業情報
レコーデッド・フューチャー・ジャパン株式会社：https://recordedfuture.com/jp