インテリジェンス主導型情報セキュリティの実現（1）
「データ」と「インテリジェンス」の違いとは

Security for Business Innovation Council
2012/3/14

　新たなアプローチへの転換

　情報セキュリティプログラムの成熟度によっては、すでにサイバーリスクデータが防御戦略に統合されている場合もあります。

　例えば、ソフトウェアおよびハードウェアの脆弱性に関するデータを収集する基本的な脆弱性管理プログラムを保持し、システムの適切なパッチ適用と更新を保証することは、組織にとってかなり一般的なことです。多くのセキュリティ専門家は、マルウェアやデータ侵害に関するベンダのレポートなどの業界向け発行物を読み、この情報を考慮してセキュリティ戦略を構築します。

　しかし、大半の情報セキュリティプログラムは、データ収集と分析には強くありません。外部情報源から収集したデータはしばしば断片化され、内部のデータソースと統合されていません。また、多くの組織はアプリケーションやセキュリティシステムから大量のデータを収集していても、平常時のアクティビティに関する基準の構築など、自身の環境を理解するためのデータ抽出および分析を行っていません。それどころか、ほとんどのデータは使われないログに終わっています。

　大抵の組織には、インテリジェンス構築に向けたサイバーリスクデータの収集、統合、分析、運用化、管理における一致した試みが存在しません。しかし、高度な脅威から防御する場合、組織にはこうした能力がより一層必要となります。

　幅広い業界の組織が高度な攻撃の標的にされることが増えているという証拠が、多数挙がっています。例えば、米国国家対情報局の幹部（注1）は最近のレポートで、「米国の大手企業や政府機関に対する外国の経済団体や企業スパイによる活動は加速している」と指摘しています。主な理由は、サイバー空間で機密データにアクセスしやすいことです。このほか、多くの企業は機密データを盗まれても気付かないとこのレポートには記載されています。さらに、サイバースパイが最も関心を持つ分野として、情報、コミュニケーション技術、天然資源、防衛、エネルギー、医療／医薬品などが挙げられています。

　別の調査では、世界中の企業が標的になっていることが示唆されています。例えば、Enterprise Strategy GroupがAPT攻撃に関して米国と欧州の企業に調査を行ったところ、米国企業のセキュリティ専門家（注2）のうち59％が、また欧州企業のセキュリティ専門家（注3）のうち63％が、自社がAPTの標的であった可能性は「非常に高い」または「考えられる」と回答しました。

　今日の脅威を巡る状況において、組織は長期間に渡って実行される可能性のある、標的型の複雑かつ複合的な攻撃に直面しています。組織は複数の情報源から抽出したデータを組み合わせて、攻撃を効果的に検知し、回避しなければなりません。

　十分な情報に基づいて防御戦略に関する意思決定を行うには、包括的で正確、かつタイムリーな情報が必要です。データ統合、知識管理、分析に関わるコンピテンシーを開発して防御を成功させるには、いまこそ情報セキュリティへの従来のアプローチから脱却する必要があります。

■考え方の転換の必要性

　現在、多くの情報セキュリティプログラムはコンプライアンス主導型です。防御戦略の意思決定は、監査サイクルを基本とするか、または単純に規制の基準と適合させる必要があります。

　もう1つ、よく知られているアプローチとして、インシデント主導型が挙げられます。意思決定は、日常的な消火活動に基づき行われます。そこで必要なのはインテリジェンス主導型アプローチであり、ここでは、意思決定がサイバー攻撃やその攻撃手法、対抗するための組織のセキュリティ体制に関わるリアルタイムのナレッジを基に行われます。

　セキュリティ専門家によっては、潜在的なサイバー脅威の情報収集は政府の責任下にあると見なすこともあります。しかし、どの国家政府にとっても、特に民間部門においては、特定の個別の企業のために脅威分析を行うことは現実的でありません。政府にはそのリソースも義務もありません。

　自身の事業または目標、市場の位置付け、資産評価、脆弱性を理解し、直面するサイバー脅威を最大限特定できるのは、その組織自身です。もっとも、サイバーリスクインテリジェンスの提供と情報共有の発展においては、政府も重要な役割を果たすことができます。

　また、インテリジェンス能力を構築するには、広範なセキュリティチーム全体で対情報および運用セキュリティの考え方を構築する必要があります。つまり、自身の組織を標的とする攻撃者の観点から考察することで、そのツールと技法が理解でき、彼らより先に潜在的な脆弱性を特定できるということです。

■インテリジェンス機能の主な特性

　インテリジェンス機能とは、専門知識、プロセス、ツールによって、次を実現するものです。

• 適切なソースから適切なデータを常時収集する
• データを効率的に統合、分析、管理する
• 知識を開発して実施可能なインテリジェンスを構築する
• 制御の変更または新規防御の計画によってリスク決定と対処を実行する
• 攻撃指標など、関連性のあるデータを他の組織と共有する

　この機能を構築するには、人材、プロセス、技術への投資が必要です。

　もちろん、すべての組織が国家安全保障機関のようなインテリジェンス機能を獲得する必要はありません。しかし、インテリジェンスの義務を持たないことと、非常に特殊な脅威環境で要求されるレベルを持っていることとの間には大きな隔たりがあります。各組織は、直面する特定の脅威、保護する必要がある資産の価値、リスクプロフィールに基づいて投資レベルを決定する必要があります。

　開始の際には、必ずしも莫大な投資は必要ありません。既存の人材を活用し、例えばログデータの収集と分析の改善、またはオープンソースの脅威インテリジェンスの統合は、すぐにでも始められます。

　そのうち、手動プロセスを減らすような自動化が重要な要素になるでしょう。そうでなければ、より多くのデータを収集、分析するのは、煩雑かつリソースを消費することになります。もう1つの重要な観点は、迅速なプログラムを持つことです。これによって、保護の手法をインテリジェンスに対応して実行することができます。

　情報を活用し、攻撃を防御、検知し、最終的には予測することが将来像です。脅威の先回りをするには、次に何が起こるかを見極める能力が必要です。そうすることで、攻撃が実行される前に適切な対処を決定できます。

■インテリジェンス主導型情報セキュリティの定義 脅威への対抗手段として攻撃を防止、検知、予測し、リスク決定や防御戦略の最適化、アクションの実施をするために、脅威に関するリアルタイムの知識とセキュリティ体制を構築すること。

【注1】『Foreign Spies Stealing U.S. Economic Secrets in Cyberspace: Report to Congress on Foreign Economic Collection and Industrial Espionage, 2009-2011』、国家情報局長官／国家対情報局幹部、2011年10月 【注2】『U.S. Advanced Persistent Threat Analysis: Awareness, Response, and Readiness among Enterprise Organizations』、Enterprise Strategy Group、2011年10月 【注3】『Western Europe Advanced Persistent Threat (APT) Survey』、Enterprise Strategy Group、2011年10月

2/2

Index
インテリジェンス主導型情報セキュリティの実現（1） 「データ」と「インテリジェンス」の違いとは
	Page1 はじめに：「知ること」の必要性 組織が知るべきこと
	Page2 新たなアプローチへの転換

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）