ブログ
リスク管理と脅威インテリジェンス
2019-01-11

 「サイバー」または「情報セキュリティ」という言葉が話題に上ると、大抵の場合管理者は IT チームの方を振り向いて目をやります。実際には、情報セキュリティはITのスキルセットを必要とする一方で、IT タスクではありません。IT チームが今直面している優先事項は、互換性や稼働時間、サービスの提供であり、多くの場合、情報セキュリティは最優先事項ではありません。企業の情報を保護するという業務はITチームからは独立しています、なぜなら企業の情報を保護するという目的や要件はITの目標とは逆になる傾向があるためです。

情報漏洩を防止するという情報セキュリティ管理者の目標には、ITマネジメント標準、セキュアなアーキテクチャ、そしてセキュア開発標準が含まれます。これらはすべて、ITプロジェクトのタイムラインを阻害するものになりえます。それにもかかわらず、最高のCIOやCTOは、後で問題を「修正」することよりも、プロジェクトの品質や優れた成果を上げることに重点を置いているため、それらの標準がより柔軟で拡張性の高いプラットフォームを実現するということを認めることになります。

 企業のリスク管理者や経営層は、徐々にセキュリティ侵害が会社の収益性に劇的な影響を及ぼす可能性があると気付くようになりました。情報漏洩後のブランド・評判の悪化に加え、最近では法務費用や罰金が非常に高額になってきているため、経営層はいつ会社に攻撃や漏洩の恐れがあるのかを知りたがっています。サイバー脅威インテリジェンスは、サイバーに関わる現実のリスクを理解しなければならない組織にとって、その優先順位リストの最上位に置かれるべきものです。

 正確な、あるいは信頼性の高い脅威インテリジェンスが提示された場合、その初期では、一部のセキュリティ管理者はどう対応したらいいのかわからないことがあります。否定されることもありますが、その最大の理由・躊躇は、情報が不正確でインシデントが発生しないかもしれないのにインシデント対応を開始することに対する危惧です。私たちは脅威存在痕跡(IoC:Indicator of Compromise)または攻撃指標(IoA:Indicator of Attack)をタイムリーに確認できるように、(インシデント対応プロセス以外の)内部のインテリジェンス収集を正確に行う必要があります。セキュリティマネージャとして、脅威インテリジェンスに反応しないことはもはや選択肢ではありません。これは、すべてのリスクを可能性と影響によって識別および分類することを促進する、リスク管理プロセスへのアンチテーゼです。

 前のセクションで述べたように、インテリジェンスプロセスは情報を共有(および情報を収集)することですから、信頼できる脅威インテリジェンスをリスク台帳に登録し、経営陣に伝えなければ意味がありません。

 ここまでは主に計画的な攻撃に関連する脅威インテリジェンスについて説明してきましたが、会社が既にデータを漏洩してしまったことを示す脅威インテリジェンスに対処する場合を考えてみましょう。

 組織がインテリジェンス収集機能を設定したばかりのとき、または全体的な脆弱性評価の一環として外部から信頼できる脅威インテリジェンスを最初に購入した際に、このシナリオは通常、企業に対して最大の衝撃を与えることになります。インシデントを報告するというタスクに直面したとき、その企業が取る反応は、脅威インテリジェンスに基づいてデータが漏洩したかどうか「確実にはわからない」、というものになります。
一方で、もしインシデントが報告されてないと、情報漏洩の調査は行われないことになります。調査はインシデントに対してのみ開始されるからです。前述の通り、セキュリティ管理者は、インテリジェンスが提示されたときにすぐに確認または否認するために、社内分析データおよび分析ツールに直ぐにアクセスできる必要があります。脅威インテリジェンスに基づいて行動しないことはもはや選択肢ではないのです。

 サイバー脅威インテリジェンスプロセスをリスク管理に含めることに対する抵抗を 2 段階にまとめました。

1.将来においてインシデントが発生する可能性が不確かなため、脅威インテリジェンスを否認。したがって、将来のイベントに対するリスクが適切に認識されない。
2.過去のイベントに関連する情報の調査を拒否。そのためその情報および企業のリスクをタイムリーかつプロアクティブに正しく認識しない。

 上記2つのシナリオを防ぐために、組織がサイバー脅威インテリジェンスの普及にリスク管理プロセスを含めること、およびリスク管理者が情報リスクの評価にサイバー脅威インテリジェンスを積極的に取り入れることが重要なのです。

カート カセイ (Kirt Cathey)
Vice President, CYFIRMA