サイバー攻撃を防ぐ“知見”のベール ~脅威インテリジェンスの実相を知る~

 2020.11.09  EDR実践ポータル

AI(Artificial Intelligence:人工知能)の存在感が、一般のビジネス社会でも大きくなってきた2010年代の中頃から、私たち日本人が“インテリジェンス”に対して懐く関心、価値観も少しずつ変わってきたのではないでしょうか。

情報セキュリティの分野でも、“脅威インテリジェンス”という技術が世界を覆いつつあります。企業や団体の情報資産を守るという視点から、“インテリジェンス”の意味と意義について考えてみましょう。

サイバー攻撃を防ぐ“知見”のベール ~脅威インテリジェンスの実相を知る~

攻撃に対処する“知見の集合体

脅威インテリジェンス(CTI:Cyber Threat Intelligence)は、“世界中で発生した、発生しているサイバー攻撃に関する情報を集積したシステム”です。もう少し実践的な視点から見ると、“攻撃者のプロファイル、狙い、リソースなどを掌握し、企業や団体がサイバー攻撃に対する防御に利用できるように体系化した情報”と表現できます。

キーワードは“インテリジェンス”。日本語の“情報”という単語を定義するとき、決まって出る解説ですが、簡単に復習しておきましょう。

情報- Data

    - Information

    - Intelligence

データとインフォメーション、そしてインテリジェンス。

どれも情報の訳語が当てはまりますが、英語圏では明確に使い分けられています。データは、温度、湿度などの環境データ、交通量、商品価格のような加工していない情報。セキュリティの分野では、攻撃に使われたIPアドレス、一定期間に発生したフィッシングの件数、マルウェアの名前などがこれに該当します。

インフォメーションは、データを加工した状態です。例えば、企業や地域を紹介するため、人間が目的をもって整理したもので、会社概要や製品カタログ、観光案内のような類と考えていいでしょう。

そしてインテリジェンスは、データとインフォメーションに分析を加え、人間の意思決定を支援する知見、人間が行動を起こすトリガーになる情報です。よく知られるように、米国のCIA(中央情報局)、韓国にあったKCIA(韓国中央情報部)の“I”は、人間の行動を決める知見、インテリジェンスです。

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

セキュリティ分野の知性とは?

情報セキュリティの分野では、サイバー攻撃の先鋭化に呼応して、インテリジェンスが求められるようになってきました。簡単に経緯を振り返ってみましょう。

マルウェアや大量のデータを送り付けるDoSのような常態化した攻撃に対しては、企業に設置されたNGAVやNGFW※が機能し、攻撃側は正面突破が難しくなりました。その一方、ファイルレスマルウェアや標的型攻撃のような僅かな隙をこじ開けようとする手口は、なかなか根絶ができません。特定の国家や組織を狙って継続的に攻撃を仕掛けるATP※も、深刻な被害を与え続けています。

※NGAV(Next Generation Anti-Virus:次世代アンチウイルス)

※NGFW(Next Generation FireWall:次世代ファイアウォール)

※ATP(Advanced Persistent Threat:高度で持続的な脅威)

マルウェアやDoSのような攻撃は被害がすぐ顕在化するのですが、標的型攻撃やATPの影響で機密情報が漏えいすると、検知に時間がかかる場合もあります。情報漏えいと実害の因果関係の解析が難しく、被害の実態が正確に把握できないケースも少なくありません。

このように、年々先鋭化する攻撃の掌握、侵害の早期発見と被害の軽減、そして予防を支援するため、セキュリティ企業が集約した知見を提供するソリューションがCTIなのです。続いて“知見=インテリジェンス”の中身に進みます。

インテリジェンスを生成するソース

CTIのソースは、大別すると以下が含まれます。

図1-3

1.テクニカルなデータ

AVとFWなどのセキュリティ機器、セキュリティ/ネットワーク機器のログを一元管理するSIEM、サーバとPCを中心としたエンドポイント機器など、組織に設置されている各種デバイスとシステムに集積されるデータです。

※SIEM(Security Information and Event Management:セキュリティ情報イベント管理)

例えば、攻撃の兆候を含むIPアドレス、URL、ドメイン名、マルウェアの名称/ハッシュ値、攻撃者名などのデータ。組織に設置される機器に集積したログだけではなく、セキュリティ企業のネットワーク、観測用デバイス、業界団体や研究機関が開示しているオープンソースからも入手します。情報に対する訳語では、“Data”に近いと考えてください。

2.攻撃者のプロファイル

プロファイルは“分析結果”に近い意味で、活動歴、リソース、利用する手法、攻撃の背景、意図まで踏み込み、セキュリティ対策に利用できる形に整理されたものです。例えば、ATPを仕掛けている組織の素性を洗い出し、標的と目的、期間、地域、手法などをシナリオ化。攻撃の兆候を検出した際の対処方法、攻撃が予測される組織に向けてはガードを強化するための情報を配信します。

ソースは、オープンなインターネット上のセキュリティツールとネットワークだけではなく、特定の資格者だけがアクセスできる“ディープWeb”、匿名性が高い闇のネット空間“ダークWeb”も含みます。人間が情報を加工したという意味では、“Information”に近いのですが、セキュリティ専門家による情報収集と高度な分析を前提とするものです。

3.“実世界”の動静

2010年にイラクで起きた核施設へのサイバー攻撃、ファンシーベアと命名されたロシアの組織が起こしたとされる米国大統領選挙の運営妨害など、特にATPのような大規模な攻撃は、世界の政治・経済・社会の動静と切り離すことができません。

敵を深く知るには、世界の現実を、その地域特有の課題を、インテリジェンスとして蓄積しておくことが不可欠なのです。今日、前線で機能しているCTIのバックエンドには、地政学、言語学、地域の文化に通じたスタッフも配置され、世界の動静分析に知見を提供しています。

インテリジェンスの配信方法は?

CTIに蓄積した情報は、一般に以下のような形で配信されます。三つのルートに共通する要素は、ソースを高い精度で加工し、それぞれの企業に必要なインテリジェンスを選別して提供するという点です。

 ・アラートとして企業に通知

 ・セキュリティツールにインプット

 ・レポート形式で提供

アラートを出す方法は、ユーザー企業の特徴と攻撃の傾向を分析した上で、必要な情報、例えば、新種のマルウェア、留意すべき不正侵入の手口、標的型攻撃、脆弱性などの状況をメールやファイルの形式で送信します。

セキュリティツールへのインプットは、FWやAV、IDS/IPS※、SIEMなどのセキュリティツール、ネットワーク機器に登録する方法です。CTIとセキュリティ機器のベンダーが同一の場合、この形での運用は容易ですが、異なるメーカー間でもAPIが開示されているデバイス間は連携が可能です。

※IDS/IPS(Intrusion Detection System/Intrusion Prevention System:侵入検知/防止システム)

レポートは、主に前述した「3.“実世界”の動静」の開示で用いられます。エキスパートが国際関係の動き、地理的な条件、サイバー攻撃の傾向などを分析したもので、標的になる可能性が高い地域、業種、攻撃の手口などが詳述されます。

図2-3

脅威インテリジェンスの運用イメージ。AV、FWなどのシステムと連動して情報を編集・配信

企業情報システムに知見を注入

企業がCTIを活用するには、自社の情報システムとセキュリティ対策の状況を把握し、日々の運用をチェックする観察眼を持つことが前提です。もちろん、攻撃の詳細を理解するための知識も欠かせません。難易度は高いのですが、リソースにゆとりのない組織のため、運用全般を支援するマネージメントのレベルまで提供しているベンダーもあります。

CTIはまだ歴史が浅いため固定した定義はなく、ベンダーによっては自社で整理したデータを配信するだけのサービスに対して、脅威インテリジェンスのキーワードを使うケースもあるようです。とらえ方はマチマチですが、一般的には組織の実情を加味した上で、カスタマイズしたアラートの配信、セキュリティツールへのインプットの支援、定期的なレポートまで提供するサービスを示すと考えていいでしょう。

インテリジェンスの連携にも期待

今後はベンダー間の連携も期待されます。

CTIを運用するには、データの収集力、集積したデータ量、機械学習などの分析技術、エキスパートの知見など、潤沢なリソースが必要です。テクノロジーに加えて、地政学、言語学の素地も欠かせません。

どのCTI事業者も運用に必要な資産は備えているとしても、持てる技術とシステム、ツールの特性は違い、世界のすべての地域、文化をカバーできる企業はありません。

一方、攻撃側は情報とノウハウの共有を始めている可能性があります。確かなエビデンスを得るには至っていませんが、複数の犯罪組織が共通の攻撃ツール、手法に通じている痕跡もあり、ダークWebのような空間で協定が生まれているのかもしれません。

セキュリティ対策の分野でも、国内ではサイバー情報共有イニシアティブ、フィッシング対策協議会などの業界団体を軸に、情報を共有する体制はありますが、インテリジェンスレベルのシェアには至っていません。

もちろん、セキュリティ企業の知見の固まりと言えるCTIのシェアは難しいでしょう。しかし、各社が重視している地域に関するインテリジェンスの交換や、“業界共通の敵への対処”といった基礎的な部分に関しては、プラットフォームの共通化もできるかもしれません。

図3-2

連携して精度をより向上すると同時に、部分的な共有化で運用を効率化し、ユーザー企業がより安価に、より平易に脅威インテリジェンスを利用できる体制の整備も望まれます。

テレワークのエンドポイント保護

RECENT POST「セキュリティ全般」の最新記事


サイバー攻撃を防ぐ“知見”のベール ~脅威インテリジェンスの実相を知る~
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング