スレットインテリジェンスの役割
前回、最高情報セキュリティ責任者(Chief Information Security Officer:CISO)やセキュリティ部門の担当者は、これまで以上にサイバーセキュリティに精通しておく必要があることを述べた。というのも、本来インテリジェンスとは万人が使える情報が自動的に集まるような類のものではない。
セキュリティ対策の意思決定者が自身のニーズをふまえて計画と方向性を提示し、インテリジェンス担当に収集と分析を指示することで初めて自組織に必要なインテリジェンスが集まるのである。そのインテリジェンスをセキュリティ対策の意思決定者が評価し、意思決定を行うことができる。
この一連のプロセスをインテリジェンスサイクルと呼ぶ。担当者は対策を行うためにスレットインテリジェンスを使いこなす能力、すなわち高いリテラシーが必要なのである。
インテリジェンスサイクル
ではCISO、またはセキュリティ担当者の意思決定に必要な情報とはどういったものであろうか。大別すると (1)脅威の現状 、(2)潜在的な脅威、(3)対策とその評価、の3点になる。
(1)脅威の現状
現在どういった脅威が存在し、どのようなインシデント(事件や事故)が起きているのか。概要、詳細情報、駆除方法、重要度、発生数、攻撃者像、またはそこから得られる知見や分析、評価など、おそらく多くの読者がイメージするスレットインテリジェンスとはこれになるのではないだろうか。
(2)潜在的な脅威
まだ顕在化していないが、今後脅威になる、もしくはインシデントにつながる可能性があるもの。インテリジェンスとは未来を予言するものではない。しかし過去から現在までに蓄積された事実とその分析により、起こりうるいくつかの可能性や実現方法を提示することは可能である。
実際にあったケースとして、自動車のセキュリティがあげられる。ここ数年、採用されるテクノロジの変化からセキュリティ上の懸念、特に自動車を外部からコントロールできるのではという危惧が抱かれた。セキュリティ研究者などが調査を進めていくと、技術的に可能であることが実証され、メーカーが実際に攻撃を受ける前にリコールすることができたのは記憶に新しい。
(3)対策案およびその評価
現在の脅威と動向を理解し、また潜在するリスクを認識することでセキュリティ対策を考ることができる。その際、いかに検出するか、という防御面だけでなく、いかに迅速に回復させるか、という対策が必要であるかはすでに繰り返し述べた。ここで一つ単純化した例をあげてみよう。
マルウェアの一種であるランサムウェアは、感染するとコンピュータ上のファイル、特に書類や写真などのデータを暗号化してしまい、元データを削除して復旧できなくしてしまう。感染後、攻撃者はデータをもとに戻したければ身代金を払えとメッセージを残す。
もしランサムウェアの仕組みとその数が近年増加していることを知っていれば、重要データは定期的にバックアップし、たとえ暗号化されたとしてもランサムウェアから影響を受けないバックアップから復旧できる対策を検討することができるのである。
現実にはすべての攻撃を防御することも、リスクを知ることも不可能である。しかし、インテリジェンスを活用することで、予期可能な攻撃を知り回避できる可能性を高める、あるいは被害の低減を行うことは可能である。
また。素早く現状へ復帰するプランをあらかじめ持つことで、ビジネスへの影響を最小限に抑えることができる。セキュリティ対策の責任者は、レジリエントセキュリティが実現する抑止・予防・検知・回復のすべてのフェーズを俯瞰して重要度をはかり、今までのように検知だけに偏らない対策が可能になる。
このような知見を長期間にわたって提供することもスレットインテリジェンスを提供する組織に求められる。
