次に、Gundert氏は戦略的な要素について、現在と未来の脅威が企業とその資産に及ぼす影響に対する専門家の分析を伴うと説明した。戦略的な要素には、次のものが含まれる。
- 関係の構築:攻撃に関する情報を情報共有分析センター(ISAC)のような信頼できるコミュニティーと共有することで、プロアクティブな要素が加わり、企業はほかの組織の経験を活用できるようになる。
- プロプライエタリな情報ソース:脅威ベンダーをソースとして利用することに加えて、社内のデータ収集能力も企業に特有の情報の重要なソースであり、ベンダーの能力を確認する手段である。Gundert氏は、「例えば、企業で毎日上位5000のウェブ訪問先のウェブページコードを分析する社内用ウェブクローラを構築すれば、ドライブバイ攻撃に関する知見を得られるかもしれない」と付け加えた。
- 敵の特性:攻撃の理由と動機、および方法についての情報収集は、攻撃が行われている間だけでなく、攻撃後にも重要である。なぜなら、上層部は詳細な情報を求めるからだ。
- トレンドの特定:攻撃の傾向を追跡することで、未来の脅威に関する知見を獲得し、計画の立案を促進することができる。
- セキュリティに対する問題意識:従業員の教育は極めて重要だ。Gundert氏は、「教育は長い時間を要するが、組織的に行えば、即座に価値を追加することのできる戦略的機能だ」と述べる。
- 社内の監視:企業は、自社の境界防御を突破した外部からの攻撃だけでなく、社内の人間による悪事についても監視を行う必要がある。
- 攻撃者のツールとアーキテクチャについての助言:Gundert氏が敵にとっての「難所」と呼ぶものに相当するツールと手法、および手順(TTP)を特定することで、IT部門はソリューションの開発にプロアクティブに取り組めるようになる。
まとめ
世界クラスの脅威インテリジェンスプログラムの開発には以下のものが必要だとGundert氏は言う。
- ビジネスとその戦略的資産の理解
- 関連する敵とそのTTPの特定
- 大規模なセキュリティ組織との協力
- 関連する防御的セキュリティコントロールを構築して、可視性の向上、リスクの軽減、収益性の強化を実現
結局のところ、「脅威インテリジェンスプログラムが成功するかどうかは、事業目標の理解と、事業目標の達成を可能にするプロセスの構築にかかっている」とGundert氏は話す。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。