セキュリティの脅威インテリジェンスは、人の目には見えにくいサイバー攻撃の活動やその兆候を把握することで事前に備え、被害の発生や抑止につなげるための手段となる。脅威インテリジェンスの特徴や効果などについて、NTTデータ先端技術が開催したメディア向けセミナーで同社 サイバーセキュリティインテリジェンスセンター長の宮坂肇氏が解説した。
同社は、IT基盤やソフトウェア、セキュリティを事業領域とする。セキュリティ事業にはセキュリティ状態の診断や運用監視、インシデント対応支援などがあり、サイバーセキュリティインテリジェンスセンターでは、外部のインテリジェンス提供ベンダーの情報を基に、セキュリティ事業で得た知見などを組み合わせて、脅威の予防に重点を置いたサービスを手掛けているという。
宮坂氏によれば、脅威インテリジェンスとは、サイバー攻撃者の意図や目的、用いる手法などの情報を分析、評価し、脅威に晒される組織に関する情報を活用して、適切なセキュリティ対策を講じられるようにすることという。
セキュリティ情報の分類の定義
同氏は、企業や組織のセキュリティ課題が、目には見えないサイバー空間に対する不安から適切なセキュリティ対策の実装が進まず、経営課題としての認識がされにくいため、「人・物・金」といった資源を投じづらいことだと指摘する。一方で、企業や組織のIT環境は、これまでオフィスに集約されてきたが、場所を問わない働き方の普及などの背景から「分散」傾向にあるとする。これはサイバー攻撃者にとって攻撃や収益化の機会につながり、攻撃手段の高度化・複雑化といった状態をもたらしている。
このためセキュリティ対策の取り組みは、脅威が顕在化した後の対処から顕在化する途上での対応、さらには顕在化する前段階からの備えに広げる必要があるという。脅威インテリジェンスも従来は、過去に発生した攻撃などの情報を分析したり評価したりすることで次なる脅威に備えるものだったが、サイバー攻撃者の活動実態が徐々に分かるにつれて、現在の具体的な脅威やリスクを把握しやすくなり、実際の攻撃活動が開始される前にその兆候を捉え攻撃や被害を防ぐことができる機会が増えてきたとする。
セキュリティ対策と脅威インテリジェンスの関係
宮坂氏は、実際に攻撃を防いだ事例を3件挙げる。1つは、インターネットの闇サイトでメールアドレスとパスワードの認証情報が漏えいしているとの通知をインテリジェンスベンダーから得て調査を行い、同社の顧客にヒアリングして漏えいしたとされる認証情報の内容を分析した。一部は実際に顧客先で使われており、一部は外部で利用されたものだったことが分かり、サイバー攻撃者が悪用する前にパスワードリセットや使いまわしの危険性を啓発する教育などを実施することで、被害の発生を不正だという。
もう1つのケースは、サイバー攻撃者グループが大規模な攻撃活動を準備していることが判明し、Eコーマス企業が標的になった。この企業のシステムには、個人情報やクレジットカード情報などがあり、攻撃者グループは事前の侵入行為でシステムや機密情報の状態を既に把握していたという。攻撃を実行する予定日や方法なども計画済みだったことから、監視を強化しつつ事前に対策を講じて攻撃を防いだとしている。
最後のケースは、多くの企業や組織のリモートアクセス環境を突く攻撃計画になる。攻撃者グループがインターネットに公開されているリモートデスクトップ環境を探索していることが分かり、これを監視していたインテリジェンスベンダーが攻撃者グループの計画内容を把握し、同社に通知した。同社はベンダーから得た情報をもとに標的とされたシステム会社に報告し、攻撃の痕跡を検知したり認証機能を強化したりする対策を講じたとする。
サイバー攻撃活動には幾つかの段階があり、攻撃が展開される過程は「サイバーキルチェーン」と呼ばれる。宮坂氏は、なるべく前段階で攻撃活動を捉えて攻撃の過程を断ち切ることが重要だとする。脅威インテリジェンスはこの役目を担うもので、攻撃者を知り、攻撃者に狙われる側も自身の弱点などを知っておくことが、被害を防ぐことにつながるという。
NTTデータ先端技術 サイバーセキュリティインテリジェンスセンター長の宮坂肇氏
なお、脅威インテリジェンスを通じてサイバー攻撃が実際に行われる確率を予測するのは難しいものの、宮坂氏は同社のセキュリティサービスの情報やこれまでの事業経験などを加味して分析、評価を行い、確度の高い情報提供に当たっているという。また、同社の顧客以外の企業や組織が標的だったなどの場合は、その企業や組織が所属する業界団体やコミュニティーといった場に対して注意を呼びかけるなどの活動もしているという。
