インテリジェンス主導型情報セキュリティの実現(2)
実現に向けたロ―ドマップ
Security for Business Innovation Council
2012/3/16
ステップ3:適切な人材を獲得する
サイバーリスクインテリジェンス担当者のスキルは、従来のセキュリティ部門で求められるスキルとはかなり異なります。
歴史的に見て、セキュリティ担当者にはシステム管理またはネットワーク管理などの技術的なスキルが必要でした。しかし、サイバーリスクインテリジェンスチームは、組織のITインフラストラクチャに対してどのような攻撃手法が使用されるかを特定することに重点を置いた、異なるスキルが求められます。また、リスク評価と理にかなった判断を下すことのできる能力も求められており、比較的上位の役割でもあります。
一見関連性のないように見えるデータを紐付けて、パターンを見出し、傾向を読み取って予測するためには、分析スキルと経験が極めて重要です。分析モデルの構築方法と改善方法を知っており、プログラマーなどのその他担当者と連携でき、ネットワークとシステム挙動分析に関する明確な専門知識を有することも必要なスキルです。
この役割で最も重要なスキルの1つに、周囲と良好な関係を構築し、維持できることが挙げられます。コミュニケーション力と文章力は、さまざまな対象者に向けたメッセージを作成する上で必要不可欠です。このほか、プロセスの設計と管理、手順の作成、インテリジェンスプログラムへのツール実装などのスキルも求められます。
探求心が旺盛で調査好きというのは、調査を実施する上で有用な性格です。組織の脅威レベルとプログラムの目的によっては、攻撃者から情報収集するために「地下」のチャネルで動くような、能動的に調査するスキルを持った人物がインテリジェンスチームに必要となる場合もあります。
これには特殊な技術知識と外国の言語および文化に関する知識が必要です。ただし、攻撃者と特定の計画に関する詳細情報を求める組織は、多くの場合、脅威インテリジェンスサービスへ目を向けます。
脅威インテリジェンスサービスのメリットは、能動的な調査手法をすでに構築しており、広範な顧客との豊富な経験を蓄積していることです。欠点として、同サービスは小規模な組織にとって高額で、外部サービスプロバイダーでは各組織の業務に対する深い知識を持っていない可能性があることです。
脅威インテリジェンスサービスと連携する場合、社内のチームメンバーは調査項目を定義できなければなりません。そうすることで、サービスプロバイダーから関連情報を提供してもらい、また提供される情報を文脈の中で捉えられるようになります。
サイバーリスクインテリジェンス担当者の新たな役職は「アナリスト」です。職務内容は、プログラムの目標と成熟度のほか、組織構造によって異なります。「サイバーリスクインテリジェンスアナリスト」の職務例を以下にまとめました。
■サイバーリスクインテリジェンスアナリストの職務内容 ・情報源の決定 |
これは、個人で達成するには難しい内容です。アプローチの1つとして、さまざまな必要スキルを持つ人々を組み合わせた、多専門的チームを持つ方法があります。
多くの組織は、特にインテリジェンスプログラムの初期段階では、大規模な専門チームを作るほどの人材を持ち合わせていません。その代わりとして、さまざまな部門から人材を集めて仮想的なチームを作り、多角的にセキュリティの脅威を調査する時間を設けることから始めるとよいでしょう。または、既存のセキュリティリソースを指名することもできます。
例えば、チームの上級職のメンバーにサイバーインテリジェンス機能への時間を割いてもらえるよう、協力を求めるなどの手段があります。時間をかけて、フルタイムの人材または雇用者を置くことも考えられます。
適切な人材を見つけることは難しいかもしれません。サイバーリスクインテリジェンスは新興分野であるため、まだスキルを広く入手することはできません。しかし、見込みのあるソースはいくつかあります。既存のインシデント対応チームまたはフォレンジックチームで人材を育てる、または連邦法執行機関や軍事情報機関、もしくは銀行詐欺分析の経験を持つ専門家を雇用するなどの方法です。
組織構造によっては、サイバーリスクインテリジェンスチームを、情報セキュリティ部門内またはエンタープライズインテリジェンスの「総合センター」内に配置します。ここには、物理セキュリティ、サプライチェーン、競合他社の情報などの分野に従事する他のアナリストも在籍することになります。
ステップ4:情報源を構築する
サイバーリスクデータの有用な情報源は、求める情報によって異なります。サイバーインテリジェンスチームは、脅威に関する現行の知識と、その脅威に対抗するためのセキュリティ体制に基づき、攻撃を防止、検知、予測するのに役立つ追加データが何であるかを判断する必要があります。
例えば、潜在的問題の把握の可能性を向上させる場合、外部情報源からのサイバー攻撃指標の収集を改善することが考えられます。スピアフィッシングの電子メールが急増し、ビジネス部門の1つに影響が出た場合は、その他の部門も攻撃されるかどうか、いつ攻撃されるかを把握したいと考えるでしょう。APT型攻撃の可能性があった場合、誰から標的にされているのかを知りたいと考えるはずです。
情報に対する要件が決定すれば、有用な情報源を探すことができます。各種タイプと主な要素を、文末の表に記載します。
有用な情報源の発掘は、継続的なプロセスです。情報に対する要件は見直しを行い、現行の情報源がその要件と一致するか評価し、新しい情報源を調査して評価します。それだけでなく、データを収集および分析しながら、すぐに情報源を適合させる必要がある場合もあります。
信頼できる情報源であっても、間違いを起こす可能性もあります。情報源は、品質と範囲が大幅に異なることを忘れないでください。コストがほとんどかからない優良な情報源もあれば、最悪の情報源が高額な場合もあります。将来的にチームが情報源の有用性を判断できるように、それぞれの情報源にあるデータの価値を追跡する必要があります。
■評価基準
サイバーリスクインテリジェンスチームは、情報源の属性を検討するだけでなく、組織がその情報源のデータを活用する能力も検討する必要があります。質問項目としては、以下のような内容が挙げられます。
・情報源の信憑性
- 情報源は一貫した、確実かつ正確で信頼できるデータを提供しているか?
- この情報源から効果的にデータを収集し、取り入れることができるか?
- データは機械で読み取れるか? または人の介入が必要か?
- 機械の読み取りに対応している場合、形式は何か? また、自動化機能で利用するための適切なツールを自社で保持しているか?(例えば、セキュリティ情報・イベント管理(SIEM)システムでデータを統合できるか?)
- 人の介入が必要な場合、自社環境にて手作業で試験するため、データを確認、分析、利用できる適切な人材はいるか?
- データの機密性と整合性を保証し、機密データを取り扱うことのできるデータ管理プロセスを持っているか(情報源を引用できない場合など)?・情報源が自社内のITインフラストラクチャの場合、適切なデータを取得または生成する適切なツールを持っているか?
- 必要なデータを得るために、ロギングまたは相関ルールを再構成できるか? または、必要なデータを生成するツールがさらに必要か?・この情報源を取り扱う上で必要となる人間関係の育成に投資する時間はあるか(内部情報源または外部情報源の場合、人間関係が求められる)
・かかるコストはいくらか?
- 情報を受ける上で先行投資コストはかかるか? 会費はあるか? それは登録料金か、それともサービス料金か? カスタム契約か?
- データを収集、利用するための人員数は?・情報共有契約の場合、必要なプロセスは手配済みか?
- 自社が提供するデータについて、他社は注意を持って取り扱うことを信頼できるか(他に漏らさない、または配布する場合は情報元を隠すなど)?
- 外部団体と共有するデータと共有方法に関するポリシーがあるか?
- この情報源を取り扱うための法的枠組み、活動規則、または機密保持契約(NDA)を定めているか?
- 外部団体とデータを共有する場合、そのデータをまとめるのにかかる時間と労力はどれくらいか?・この情報源からのデータは活用可能か?
- もしくは、利用するには漠然かつ大まかすぎるか?・データは追加の価値を持つか?
- 補完的情報を提供するデータか? もしくは、別の情報源からすでに取得しているデータか?
■人間関係:有用な情報源の基礎
大抵の場合、有用な情報源を見つけるには良好な人間関係を構築していることが前提となります。情報を得るには、信頼を基にデータを共有してくれる適切な人脈が必要です。人間関係は、組織全体、その他企業の同業者、法施行機関、国家公務員、業界団体の担当者などの仲間を通じて構築し、維持する必要があります。そうすることで、有用な情報源を築くことができます。
チームは、有意義な分析を行うために十分な情報を収集しなければなりませんが、目的はあらゆるデータをあらゆる場所から収集することではありません。脅威モデルと保護対象の情報だけでなく、データ収集と利用にかかる総コストを基に優先順位を付ける必要があります。さらに、多くの場合、不完全な情報を基に分析を始めなければならないことも覚えておいてください。
政府情報源 |
|||
情報源のタイプ |
例 |
提供データ |
主な要素 |
コンピュータ緊急対応機関 | 米国:US-CERT ヨーロッパ:CERT-FI(フィンランド)、DFN-CERT(ドイツ)、GOVCERT.NL(オランダ)、GovCERTおよびCPNI(英国) インド:CERT-In グローバル:FIRST オーストラリア:AusCERT |
・脅威および脆弱性に関する報告、勧告、警告 ・ベスト・プラクティスとセキュリティ上のヒント ・攻撃指標 |
・脅威データは、主に電子メールやWeb投稿など自動化されていない ・脆弱性データは多くの場合、機械の読み取り対応形式 ・一部CERTは会員制 |
連邦政府セキュリティ機関 |
・米国:DHS、NSA ・英国:GCHQ、内務省 ・ドイツ:BSI ・オーストラリア:DSD |
・脅威および脆弱性に関する報告、勧告、警告 ・脅威ブリーフィング ・攻撃指標 |
・脅威に関する公的に利用可能なデータは、主にWeb投稿など自動化されていない ・脆弱性データは、たまに機械の読み取り対応形式で提供される ・指標データベースの提供を開始(DHS) ・機密データを広く共有することは不可能 ・特定の企業に対して非機密ブリーフィングを実施 |
法執行機関 |
・現地警察:サイバー犯罪局 ・国家警察:FBI/InfraGard(米国)、SOCA(英国)、BKA(ドイツ)など ・国際組織:INTERPOL |
・サイバー犯罪に関する報告書 ・攻撃方法に関するデータ ・犯罪行為の検証データ ・攻撃指標 |
・特定の情報(公的報告書以外)については、システム内を探って有益な人脈を見つける必要がある ・ほとんどのデータが自動処理に未対応 |
業界団体およびネットワーク |
|||
情報源のタイプ |
例 |
提供データ |
主な要素 |
情報共有団体 | ・米国の行政団体:FS-ISAC、IT-ISAC、ES-ISACなどのISAC ・米国エネルギー団体:EnergySec ・米国防衛基盤:DCISE ・米国公共/民間団体:ESF ・ヨーロッパ:ENISA ・英国:WARP、UKPA ・グローバルIT業界:ICASI ・地域団体:PRISEM、ACSC ・ベンダ:RSA eFraudNetwork |
・脅威および脆弱性に関する報告、勧告、警告 ・ベストプラクティスとセキュリティ上のヒント ・攻撃指標 |
・主に自動化されていないデータを電子メールやWeb投稿などで提供 ・一部団体は自動化データ・フィードの提供へ移行中 ・通常は会員制で、料金設定はさまざま |
非公式の情報共有団体 |
地域または垂直業界のセキュリティ専門家による非公式のネットワーク |
・脅威および脆弱性に関する情報 |
・ほとんどは対面式のミーティング |
同業他社 |
セキュリティ、インシデント対応、インテリジェンスチームのメンバー |
・ベストプラクティスとセキュリティ上のヒント ・自社ネットワークの類似アクティビティに対する検証 ・攻撃指標 |
・主に個人的な連絡、電話、電子メールを通じた、自動化されていないデ―タ共有 ・カンファレンスでのプレゼンテーション |
セキュリティ研究者 |
教育機関または企業が支援 |
・脆弱性情報 ・潜在的な脅威のシナリオ ・防御方法 |
・主に個人的な連絡、ネットワークのイベント、カンファレンスを通じて情報が提供される |
商用情報源 |
|||
情報源のタイプ |
例 |
提供データ |
主な要素 |
脅威に関するフィード | ZeusTracker、Bit9、SANS Internet Storm Center、Malware Domain List、Stopbadware、Team-Cymru、IPtrust.com、RSA AFCC |
・攻撃指標 |
・多くの場合は登録制で、料金または閲覧ごとの課金制 ・さまざまな形式の機械読み取り可能なデータ ・脅威に関するフィードは、脅威検知システムやセキュリティインテリジェンスシステムなどの技術基盤に統合されている |
脅威情報調査サービス |
Cyveillance、iDefense、iSightPartners、RSA CyberCrime Intelligence Service、Mandiant |
・特定の攻撃者やその手法のほか、侵害調査 |
・契約方法はさまざま ・詳細サービスは作業指示書に基づき提供される |
広域の企業向け情報源 |
|||
情報源のタイプ |
例 |
提供データ |
主な要素 |
ビジネスパートナー | ・サプライチェーン ・業務プロセスのアウトソース会社 ・サービスプロバイダー |
・ベストプラクティスとセキュリティ上のヒント ・自社ネットワークの類似アクティビティに対する検証 ・攻撃指標 |
・主に個人的な連絡、電話、電子メールを通じた、自動化されていないデ―タ ・契約に情報共有義務を含む |
マネージドセキュリティサービスプロバイダー |
・AT&T ・Verizon |
・他社ネットワークの類似アクティビティに対する検証 |
・契約に情報共有義務を含む |
組織内部の情報源 |
|||
情報源のタイプ |
例 |
提供データ |
主な要素 |
従業員、契約社員 | ・企業の従業員 ・内勤の契約社員 |
・不審な行為またはインシデントの監視 |
・従業員の自覚が必要 ・膨大な報告処理では自動化の仕組みが必要 ・ホットライン |
経営陣 |
財務、企業戦略、各事業などの部門 |
・ビジネス戦略や関連リスクについての議論 |
・経営陣の自覚が必要 ・情報共有ワーキンググループやフォーラム |
ITおよびセキュリティインフラストラクチャ |
業務アプリケーション、GRCシステム、SIEMシステム、ネットワーク監視システム |
・ログ、警告、報告 |
・機械読み取り対応データ ・これら情報源のデータを高度な分析ツールを用いて、基準となる平常時アクティビティなどへ統合する |
2/2 |
Index | |
インテリジェンス主導型情報セキュリティの実現(2) 「データ」と「インテリジェンス」の違いとは |
|
Page1 6ステップのロ―ドマップ ステップ1:基本から始める ステップ2:議論を展開する |
|
Page2 ステップ3:適切な人材を獲得する ステップ4:情報源を構築する |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|