脅威インテリジェンスサービスを評価する

アタックサーフェス（攻撃可能なポイント）が拡大し、脅威がいっそう高度化する現状において、単なるインシデント対応だけでは十分ではありません。複雑さを増していく環境は、攻撃者にさまざまなチャンスを与えます。また、保護すべきデータは業界や組織によって異なり、使用しているアプリケーションや技術も多種多様です。こういった状況を受ける形で、膨大な種類の攻撃手段が現れ、新たな手口が日々登場しています。

私たちは過去数年間にわたり、脅威の種別とサイバー犯罪組織の関連性があいまいになっていく様子を見てきました。以前は限られた数の組織だけに対する脅威であった手口やツールは、対象範囲が拡大してきました。その一例が、Shadow Brokersというグループによるコードの放出です。これにより、今まではこのように高機能なコードには手が出なかったような犯罪者集団が、高度なエクスプロイトを自由に使えるようになりました。別の例としては、サイバースパイ活動ではなく窃盗に重点を置くAPT（Advanced Persistent Threat）活動の登場があります。APTグループが、関与しているその他の活動の資金を得るために金銭を盗むという構図です。このような例は数限りなくあります。

新たなアプローチが必要である

高度な標的型攻撃に襲われる企業が増加の一途をたどる今、防御を成功させるには、新たな手段が明らかに必要です。企業は自らを守るため、変化し続ける脅威の状況に自社のセキュリティコントロールを適応させるという、積極的なアプローチをとる必要があります。このような変化についていくには、効果的な脅威インテリジェンスプログラムを構築する以外に方法はありません。

脅威インテリジェンスはすでに、業界および地域の各所でさまざまな規模の企業が確立したセキュリティオペレーションにおいて、重要なコンポーネントとなっています。人間が理解できる情報と機械が理解できるデータの両形式で提供される脅威インテリジェンスは、インシデント管理サイクル全体を通して有意な情報によってセキュリティ部門をサポートし、戦略的な意思決定のために情報を提供する存在です。

しかし、外部脅威インテリジェンスの需要が高まるにつれて、脅威インテリジェンスサービスを提供する企業も増え、多種多様なサービスを提供するようになりました。この市場は大規模で競争が激しく、複雑なオプションが無数にあるため、自組織に最適なソリューションを選択するという作業は、非常に分かりにくく簡単にはいきません。

脅威インテリジェンスが主導するセキュリティオペレーション

脅威インテリジェンスは、事業の特性に合わせてカスタマイズされていないと、事態を悪化させる可能性があります。企業の多くでは、積極的な脅威ハンティングやインシデントレスポンスに時間を割くべきところが、誤検知の選別にセキュリティアナリストの勤務時間の半分以上が費やされており、検知までにかかる時間の増大につながっています。無関係の情報や不正確な情報をセキュリティオペレーションに提供すると誤検知の件数がさらに増え、レスポンス能力に、ひいては企業のセキュリティ全体に深刻な悪影響が及びます。

最良のインテリジェンスがあるところ、それは…

では、あまたある脅威インテリジェンスサービスを評価し、自社に最適なものを見きわめ、効果的に運用するにはどうすればよいのでしょうか？サービスを提供する各社は自社のサービスこそベストであると主張しますが、こうしたマーケティングの数々にどう向き合えば？

このような疑問はもっともではありますが、最初に問うべき内容ではありません。派手なメッセージや壮大な約束に魅せられて、外部ベンダーがある種の強力な透視能力を提供してくれると信じる企業は多数あります。しかし、こうした見解は、最も価値のある情報は自社ネットワークの中にあるという事実を完全に見落としています。

侵入検知/防止システム、ファイアウォール、アプリケーションのログ、各種セキュリティコントロールのログから得られるデータを見ると、社内ネットワークで起きているさまざまなことが分かります。たとえば、その組織固有の悪意ある活動のパターンが明らかになります。また、普通の利用者とネットワークのふるまいを区別すること、データへアクセスした活動の追跡に役立てること、さらには、修正を要するデータの潜在的セキュリティホールを特定するなど、さまざまなことが可能です。このように自社ネットワークを把握してこそ、社内で観測されたことと外部から得た情報を関連づけ、外部の脅威インテリジェンスを運用可能なものとすることができるようになります。自社の状況を知らないままでは、外部情報源の活用は難しいでしょう。確かに、グローバルに展開し、世界のさまざまな国や地域からデータを収集し、処理し、相互に関連付け、サイバーの脅威に関する広い可視性を提供してくれるベンダーもあるでしょう。しかし、これが活きるのは、社内の状況を十分に把握していてこそです。

外部の脅威インテリジェンスを運用可能にする

攻撃者の視点で考える

効果的な脅威インテリジェンスプログラムを構築するには、企業（すでにセキュリティオペレーションセンターを持つ企業を含む）は攻撃者の視点で考え、最も標的になりそうなところを特定し、保護する必要があります。脅威インテリジェンスプログラムの本当の価値を引き出すには、主要な資産は何か、組織の目標を達成するために不可欠なデータセットやビジネスプロセスは何か、明確に理解しなければなりません。重要資産を見きわめることにより、そこを中心にデータ収集ポイントを確立し、収集したデータを外部で入手した脅威情報と照らし合わせて解読できるようになります。情報セキュリティ部門のリソースに限界があることを考えると、組織全体を把握するのは大変な作業です。解決策となるのは、まず最も脆弱な標的に重点を置いたリスクベースのアプローチを採用することです。

社内における脅威インテリジェンスの情報源を定義づけ、運用可能な状態となったところで、既存のワークフローに外部情報を付加することの検討が始まります。

それは信頼の問題である

外部の脅威インテリジェンスサービスは、信頼性のレベルがさまざまに異なります。

• オープンソースのインテリジェンスは無料ですが、コンテキスト情報が不足していることがしばしばであり、大量の誤検知が発生します。
• 手始めに、Financial Services Information Sharing and Analysis Center（FS-ISAC）のような、業界固有のインテリジェンス共有コミュニティにアクセスしてみましょう。このようなコミュニティは極めて価値のある情報を提供してくれますが、情報にアクセスするには正会員になる必要があります。
• 有料の脅威インテリジェンスサービスは、より高い信頼性を有しますが、情報へのアクセス権の購入は高額になることもあります。

外部の脅威インテリジェンスサービスを選ぶ際には、量より質を重視しましょう。脅威インテリジェンスの情報源を増やせば可視性が高まる、という考え方もあるかもしれません。それが正しい場合もあります。たとえば、自組織に特有の脅威プロファイルに合わせた脅威インテリジェンスを提供してくれる、信頼性の高い情報源を利用する場合です。情報源の信頼性が高くない場合、セキュリティオペレーションが意味のない情報に翻弄されてしまう危険性があります。

脅威インテリジェンスのベンダーが提供する情報に、大きな重複はありません。情報源と収集方法は各社それぞれで、提供する情報や意見は、ある意味、独自のものです。たとえば、特定の分野で評価が高い会社は、その分野で発生する脅威については他社よりも詳しい情報を提供してくれますが、他のタイプの脅威については別の会社の方が詳しく報告してくれます。両方の情報源にアクセスできれば有益かもしれません。併せて用いることで、より大局的な見方ができるようになり、脅威ハンティングとインシデント対応のミッションをより効果的な方向に導く一助となるかもしれません。ただし念頭に置きたいのは、信頼できる情報源に関しても、提供される情報が自社固有のニーズやユースケース（セキュリティオペレーションやインシデント対応、リスク管理、脆弱性管理、レッドチーム演習など）に適しているかどうか、前もって慎重に評価する必要があるという点です。

有料の脅威インテリジェンスサービスを評価する際に考慮すべきポイント

有料の脅威インテリジェンスサービスを評価するための一般的な基準はまだありませんが、評価の際に考慮したい点はいくつかあります。

• 世界的に展開しているインテリジェンスサービスを探すこと。攻撃に国境はありません。中南米の企業を標的にした攻撃が欧州から行われることもあれば、その逆もあります。検討中のベンダーは、情報を世界各地から入手しているでしょうか？また、関係のなさそうに見える複数の活動をまとまりのある作戦行動に関連付けているでしょうか？こうした条件を満たすインテリジェンスサービスは、適切なアクションの実施を助けてくれることでしょう。
• 長期的なセキュリティ計画の立案に役立つ戦略的なコンテンツを探している場合、求めるべきものは以下のとおりです。
  • 攻撃動向の高レベルな見解
  • 攻撃者が使用する手口や方法
  • 動機
  • アトリビューション（攻撃実行者の素性特定）、その他

その上で、自社の所在する地域または業界において複合的な脅威を継続的に発見、調査している確かな実績を持つ、脅威インテリジェンスサービスベンダーを探しましょう。顧客となる企業の特性に応じて調査能力をカスタマイズ可能なベンダーであるかどうかも、重要な点です。

• 「なぜ、これが問題なのか」という重要な問いに対する答えを導き出す助けとなるベンダーを探すこと。コンテキスト情報があって初めて、データは情報になります。コンテキスト情報のない脅威インジケーターに価値はありません。関係性のコンテキスト（たとえば、特定のファイルのダウンロード元として検知されたIPアドレスまたはURLにどのドメインが関連しているか）は、付加価値をもたらします。これによってインシデント捜査が進展しますし、ネットワーク内で新たに関連の「脅威の痕跡」が発見されれば、インシデント捜査の範囲を絞り込むのに役立ちます。
• セキュリティコントロールをすでに導入し、関連するプロセスを定義済みである場合は、使用中のツールと共に脅威インテリジェンスを活用することが重要課題となってきます。その場合は、既存のセキュリティオペレーションと脅威インテリジェンスを円滑に統合できるような導入方法、統合のメカニズムおよび統合の形式がポイントとなります。

Kaspersky Labは、20年以上にわたり、脅威の調査に重点的に取り組んできました。ペタバイト級の脅威データ、高度な機械学習テクノロジー、世界各地に展開するエキスパートを擁し、世界中から収集した最新の脅威インテリジェンスで皆様をサポートし、これまで見られたことのないサイバー攻撃の影響から組織を守ります。詳細については、Kaspersky Threat IntelligenceのWebページをご覧ください。