脅威インテリジェンスの共有:言うは易く行うは難し


サイバーインテリジェンスの共有を成功させるには、第1に組織間の信頼関係を構築し、第2に情報の収集および交換と情報に基づく対応のプロセスを迅速化することが必要です。
フォーティネット、グローバルセキュリティストラテジスト、
Derek Manky

この記事は、Dark Readingのバイライン記事として掲載されたものです。

サイバーインテリジェンスの共有を成功させるには、第1に組織間の信頼関係を構築し、第2に情報の収集および交換と情報に基づく対応のプロセスを迅速化することが必要です。

サイバー脅威が高度化してクラウドとモノのインターネット(IoT)に及ぶようになり、信頼する組織間で有意義な脅威インテリジェンスを共有することの重要性が今まで以上に高まっています。今年、フォーティネットのチームはインターポール(国際刑事警察機構)とナイジェリア経済金融犯罪委員会による国際的犯罪組織の共同捜査に協力しました。その一環として情報を直接的に共有したことが首謀者の摘発に役立ち、ここでも情報共有のメリットを実感しました。

この連携活動では、第1に、サイバー脅威への対応としてセキュリティベンダーが提供可能なグローバル脅威インテリジェンス研究および分析の重要が示されました。個人的には、セキュリティベンダーはエンドユーザー支持団体との間で脅威情報を共有するとともに、ベンダー間でも「責任」をもって脅威情報を共有すべきであると考えています。攻撃に対抗し、またサイバー犯罪者を相手とする捜査当局の捜査を支援するうえで、これが最善の道です。しかし、信頼された機密ネットワークの間ですら、情報共有という価値ある目標を達成するには依然として課題があります。

情報共有を阻んでいる主な要因の1つとして、法的責任を問われることを回避したいという意識が働いていることが挙げられます。2014年にPonemonが700人のITセキュリティ担当者を対象に実施した調査では、情報共有に参加している回答者の71%が、共有によってセキュリティ態勢が改善していると答えています。一方で、情報を共有していない組織の半数は、共有をためらう主たる理由として「法的責任を問われる可能性」を挙げています。

このような障害を克服するには、組織間の信頼関係を構築するとともに、脅威インテリジェンスを迅速に受け渡して活用するプロセスを実現する必要があります。

「信頼せよ、されど検証せよ」


組織は、共有可能な情報に関する詳細な取り決めを必要とするだけでなく、共有相手となる組織を信頼し、また情報の収集、処理、交換のプロセスも信頼する必要があります。

さらに、データの機密性、および個人情報(PII)の保護についての懸念も大きな課題です。攻撃と攻撃者に関する詳細情報は、顧客との(コンテキストも含めた)関連付けなしに共有する必要があります。顧客の機密性を危険にさらして、法的責任を問われることは避けなければなりません。組織は、攻撃者に関連する情報のみを共有し、PIIを匿名化するなど、合意された取り決めを厳守して実施する信頼できるパートナーに依存する必要があります。

信頼関係の構築には、次のようなヒントが参考になります。

  • 業界内であなたが知っているパートナーやベンダーから開始して、脅威情報の共有について意見を聞きましょう。
  • ISAO(Information Sharing and Analysis Organization)またはISAC(Information Sharing and Analysis Center)に参加しましょう。これらのグループは、業種関連の脅威インテリジェンスの共有に取り組み、業界のニーズに適した取り決めと手続きを確立しています。
  • インターポール、NATO Industry Cyber Partnership(NICP)、地域的な団体など、さまざまな組織が脅威データの収集と共有のためにベンダーおよび業界リーダーと積極的に連携しています。セキュリティベンダーの場合は、Cyber Threat Alliance(CTA)、OASIS Cyber Threat Intelligence(CTI)グループなどの業界団体に参加することが、全体的な保護に役立ちます。
  • 直接人々と会いましょう。信頼を築くには時間がかかります。食事などの集まりに参加することは、関係構築に非常に役立ちます。関係者が顔を合わせる機会としては、業界関連の会議、地域的な集まり、ユーザーグループなど、さまざまなものがあります。
  • レーガン元大統領が頻繁に引用していたことで知られていますが、「信頼せよ、されど検証せよ(Trust, but verify)」ということわざは情報共有にも当てはまります。重要セキュリティ情報を受け渡しするには、継続的な監視が必要です。重要情報を渡して使い物にならない情報を受け取っていないか、データが適切に匿名化されているか、渡したものと同じデータを受け取っていないかといったことを確認しなければなりません。信頼関係を維持するには、当事者全員が誠実であることが欠かせません。

迅速な処理の必要性

多くの情報共有サービスに対する批判でよく挙げられるのが、時間がかかり信頼性が低い点です。共有が適切に機能するには、組織は脅威インテリジェンス情報を迅速に受け取って処理し、情報に基づく行動をとることができなければなりません。また、共有する脅威インテリジェンスが即座に役立つものであることを確実にする必要もあります。

すぐに利用できる情報は、受け身の姿勢を改めて積極的に対応するうえで最も役立ちます。これによって、組織は攻撃を止めるだけでなく、サイバー犯罪者を実際に捕らえることができるようになります。真の意味ですぐに役立つインテリジェンスを開発して共有するには、情報を「開発」する組織の訓練されたセキュリティチームの努力とともに、情報を「利用」するユーザーまたは組織の努力も求められます。

多くの組織は、内部を含めた多様なソースから可能な限り多くのデータを積極的に収集していますが、情報を処理して相関させ、ポリシーに変換する作業の多くは依然として手動で行われています。そのために、アクティブな脅威に対して迅速に応答したり、タイムリーな役立つ情報を共有したりすることが非常に難しくなります。最も望ましいのは、脅威インテリジェンスの利用、処理、相関を自動化することです。

セキュリティベンダーは、脅威インテリジェンス情報の共有を自動化する必要もあります。これは、外部組織との間だけではありません。多くの組織は、配備されたセキュリティデバイス間、または異なるチームメンバー間ですら、脅威インテリジェンスを共有するうえで困難を抱え続けています。自動化により、迅速さが求められる脅威情報が即座にすべての利害関係者に提供されるので、リアルタイムでの共有と情報に基づく対応が可能になります。

信頼関係に基づく情報共有は、すでに知っているパートナーやコミュニティとの間であっても、言うほど簡単ではありません。セキュリティ環境の評価ではネットワーク設計の特性を考慮すべきであり、これによって脅威インテリジェンスの受け渡しが確実に推進されます。攻撃が加速し続けている今日の状況において、インテリジェンスの共有、利用、手作業の相関、更新されたポリシーの配信などの迅速さが求められる活動を含め、プロセスを可能な限り自動化していくことが重要です。