ブログ
「戦場」においてハッカーと対等に戦うために、サイバー脅威インテリジェンスが必要な理由
2019-01-11

 情報システム管理者としてIT環境を防衛するという努力を続ける中で、私たちはいくつかの理由・観点からサイバー戦争の「戦場」において不利な立場にあります。本書ではその理由を考察していきますが、私たちが防衛しているIT環境をひるがえって見て改めて考えること、すなわちコンピューティングランドスケープは何か、ハッカーの攻撃ベクトル、そしてシステムの弱点を考えることは、インシデントレスポンスの実現能力を改善することに繋がります。

 当然のことながら、それらの各項目について定期的に検討するだけで、最初の評価を検証するために必要な情報がどこにあるのかを検討することができます。

 それが我々の脅威インテリジェンス(諜報)のストーリーが始まるポイントとなるのです。サイバー脅威インテリジェンス(CTI:Cyber Threat Intelligence)は、戦場において、ハッカー及び防衛側が対等に戦うための諜報を提供します。

 その最初の理由は、脅威インテリジェンスは頻繁に「自分達に対するハッカー、あるいは攻撃者の計画が進行中であること」、または、「現在自社に対して行われているサイバー攻撃がどの段階まで進攻したか」といった洞察を私たちに与えるためです。もし攻撃者が何らかのサイバー攻撃を実施しようとしている、あるいはしている際に、情報システムの責任者がそれを早期に認識・対応出来れば、攻撃者にとっての攻撃ランドスケープを劇的に変化させることになり、サイバー攻撃の成功の見込みを大幅に低下させます。

 ここで一つ重要な言葉を引用させてください。日本でも有名な以下の孫氏の兵法の言葉は、現代の情報セキュリティの世界においても適用することが出来ます。攻撃者を知り、自社を知ることがサイバー戦争に勝つうえでの最良の方法であり、その双方を知らなければ必ず負ける、すなわちサイバー攻撃の被害から逃れることはできない、ということです。

「彼を知り己を知れば百戦殆からず。彼を知らずして己を知れば、一勝一負す。彼を知らず己を知らざれば、戦う毎に必ず殆し」
“If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle. “ —Sun Tzu, The Art of War

 上記において、サイバー脅威インテリジェンスは、主に「敵を知ること」をサポートするものになります。では、本当にサイバー脅威インテリジェンスはその役に立っているのでしょうか?

 2015年2月に行われたSANSの調査(*1) によると、調査対象の組織の64%が「サイバー脅威インテリジェンスを元に稼働する専用のチーム、個人またはサービス組織が割り当てられている」と回答しています。調査対象の16%のみが、自分の組織にサイバー脅威インテリジェンス計画がないと回答しました。これは、この文書の執筆時点から3年半前のことです。したがって、脅威インテリジェンスを取り入れようとしている企業・組織の数は現在より増大していると考えられます。同じ著者による2016年のもう少し最近の報告(*2) によると、48%の回答者が「早期予防によりインシデント数を減らすことができた」と述べています。70%が、脅威インテリジェンスベンダからの商用フィードを利用していました。その後、2018年に完了した同様の調査(*3)では、調査対象者の81%が「サイバー脅威インテリジェンスは役に立つ」と回答しており、2017年の調査における同じ設問の回答78%を上回っています。

 2つ目の理由は、サイバー脅威インテリジェンスは攻撃者が今使用している可能性のある攻撃用ツールへの洞察をもたらします。脅威インテリジェンスは、あなたが、お気に入りの月例または年間のセキュリティトレンドレポートのリリースを待つ代わりに、攻撃者のお気に入りのスクリプト、ソーシャルハック、または現在組織に対して行われている攻撃方法に関する適切でタイムリーな情報を提供します。 分散型サービス拒否(DDoS)攻撃が流行した6年から10年前のことを思い出して下さい。多くの組織がDDoSに対して対策の強化を続けましたが、攻撃者がすぐにスピアフィッシング攻撃に手法を切り替えたという事実にはなかなか気づきませんでした。むしろ、攻撃者がDDoS攻撃を利用してインシデント対応を妨害したうえで、実際にフィッシングキャンペーンを行い目的の達成を狙っていることもありました。脅威インテリジェンスはこのような状況を打開し、我々の敵に対する「戦術的な洞察」を提供します。

 攻撃の種類やツールに関する戦術的な洞察により、セキュリティ管理者は、広報と協力してアナウンスを行うか、ISACなどの業界フォーラムと情報を共有するか、ビジネスチームと共同して社内に対策を配布・強制するかを決定できます。適切な領域に焦点を合わせることで、インシデント対応がより効率的になり、またハッカーの攻撃難易度を上げることが出来るのです。


カート カセイ (Kirt Cathey)
Vice President, CYFIRMA



(*1)Dave Shackleford and S. Northcutt, “Who’s Using Cyberthreat Intelligence and How?,” 2015. https://www.sans.org/reading-room/whitepapers/analyst/cyberthreat-intelligence-how-35767
(*2)D. Shackleford, “The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing,” 2016. https://www.sans.org/reading-room/whitepapers/analyst/state-cyber-threat-intelligence-survey-cti-important-maturing-37177
(*3)D. Shackleford, “CTI in Security Operations: SANS 2018 Cyber Threat Intelligence Survey,” 2018. www.sans.org/reading-room/whitepapers/analyst/cyber-threat-intelligence-uses-successes-failures-2017-cti-survey-37677

CYFIRMAのサイバー脅威インテリジェンスの詳細は、下記フォームからダウンロード可能です。