インテリジェンス主導型情報セキュリティの実現(3)
情報共有体制の構築と改善


Security for Business Innovation Council
2012/3/22
サイバー攻撃が増大し、戦術が急速に進化する中、組織が自分自身を守るためには新しいアプローチが求められています。このレポート記事では、リスクに関する情報を収集、分析、統合し、それに基づいて意思決定と防御戦略を実施する「インテリジェンス主導型情報セキュリティ」の要点と構築ロードマップについて紹介します。(編集部)
この記事は、米EMC セキュリティ部門のRSAが主宰する「セキュリティ協議会」(Security for Business Innovation Council)がまとめたレポート「高度な脅威への事前対策 インテリジェンス主導型情報セキュリティの実現〜Global 1000企業のエグゼクティブからの低減〜」からの抜粋です。第1回の記事第2回の記事もご参照ください。

 ステップ5:プロセスを定義する

 サイバーリスクインテリジェンスプログラムを設計する場合の目標は、実施可能なインテリジェンスを生成し、適切な対応を保証する標準化された手法を作ることです。インテリジェンスの特性上、このプロセスには戦術的な時間スケールと戦略的な時間スケールの両方で取り組む必要があります。

 正確でリアルタイムな攻撃指標といった特定の情報については、迅速な対応が必要です。一方で、長期的な攻撃手法の知識といったその他の情報には、長期の防御イニシアチブが求められます。インテリジェンスは日常業務として情報提供するだけではなく、より戦略的な数年間にわたる展望を提供する必要があります。

 図2は、データの収集、意味の抽出、リスク決定、実行のための基本プロセスを図示したものです。フィードバックループに設定することで、獲得した知識はシステムに還元されます。たとえば、セキュリティ制御を修正すると、更新されたセキュリティ体制のデータが新しい入力データとなります。
図2 セキュリティプロセス

 プロセスの基本段階は、以下のとおりです。

データの取得

 外部情報源および内部情報源の入力データを収集し、索引を作ります。

データのフィルタリング

 無関係のデータ、信頼性がないデータ、または漠然とし過ぎるデータを排除します。無関係なデータには、使用していない技術の不正利用、または組織が保持しない資産への攻撃などがあります。信頼性のないデータは、その情報源から過去に信頼できないデータが提供された、または矛盾するデータを受け取ったなど、これまでの経験を基に判断するものです。

分析の実施

 さまざまなデータを統合し、相関付け、調査して、すべてがどのように関係しているかを判断します。

 一般的に、分析は手作業と自動化技術(ホワイトボードでの作業から相互分析まで)の組み合わせで行います。分析には、リスクの初期評価とリスク軽減オプションが含まれます。

結果の報告

 理想としては、緊急性の高いリスクについては、セキュリティ運用センター(SOC)が早急な対応を促す通知を自動化ダッシュボードに表示することです。例えば、分析の結果、トラフィックが攻撃者の指令統制サーバーへ向かう証拠がIT環境内で発見された場合などです。

 現行の分析結果の報告に当たって、主要な利害関係者と定期的にインテリジェンスブリーフィングを実施するシステムは効果的な方法です。例えば、分析結果には攻撃者の目的や攻撃者が利用できる潜在的な機会、機会を不正利用するための能力を示す情報が含まれることがあります。

 ブリーフィングは、さまざまな時間間隔でさまざまな対象者に実施できます。例えば、日次のブリーフィングはセキュリティチームと、週1回のブリーフィングはIT部門と、月例会は経営リスク協議会と、四半期ごとのブリーフィングは経営幹部リーダーと実施するといった具合です。

 定期ブリーフィング以外でも、高リスクの報告があれば、所定の手続き以外の方法で伝達する方法も考える必要があります。例えば、重要なシステムに影響を与える攻撃が迫っている証拠については、即時報告します。一方で、将来的に起こりうる攻撃については、定期の脅威ブリーフィングで報告します。

リスクの決定

 理想は、緊急性の高いリスクについては、リスクの判断や即時対応のためのルールをSOCに対して設定することです。

 その他の重大なリスクについては、インテリジェンスチームが確認します。そして報告があったら、リスクに応じて、その他の利害関係者(IT部門、経営陣/任務リーダー、リスク担当者、役員など)がリスク評価と軽減オプションの即時検討に入ります。

 リスク試算を実施して、組織への潜在的な影響とリスク軽減コストを比較検討します。決定は、それぞれの具体的なリスクに対して実施するアクションについて行います。

アクションの実行

 取るべきアクションは、セキュリティツールの再構成からネットワークアーキテクチャの総点検や新規のセキュリティ制御の導入にまで及びます。

 インテリジェンスへの対応として考えられるアクション例を、以下にいくつか挙げます。

  • 組織全体のファイアウォールのルールを変更する
  • SIEMの新しい相関ルールを作成する
  • 重要な資産一式へのアクセス権限を統制する
  • ネットワークをセグメント化して特定の重要資産を切り離す
  • 特定の重要な業務プロセスに対して暗号化を実装する

 サイバーインテリジェンスチームは単独では作業できません。セキュリティ管理プロセスでは、各段階で関係する人物を明らかにする必要があります。

 例えば、チームはインテリジェンスへの対応を調整する上で、組織全体にわたって適切な人間関係を持つことが求められます。それには、SOC、ネットワーク運用、システム管理者、各事業部門のメンバーと関係を築くことが必要です。社内にマルウェアフォレンジックなどの担当者がいない場合、外部の専門家に頼ることになります。

 このほか、迅速な対応には柔軟な保護プラットフォームが必要です。例えば、管理を一元化するアーキテクチャにより、数百もの制御ポイントに対してファイアウォールの大規模なルール変更を適用することもあり得ます。

 情報セキュリティの運用責任は、一般的に組織全体に分散させますが、Chief Information Security Officer(CISO)が中心となって指揮します。よって、効果的なサイバーリスクインテリジェンスプロセスを構築するには、サイロ化された組織とデータ管理とを結ぶ必要があります。

 既存システムを活用してデータの流れを促進することも可能です。例えば、一部の組織は、情報および物理に関するすべてのセキュリティインシデント向けの共通データベースを設置し、エンタープライズリスク管理プログラムのための知識管理およびワークフロー・プロセスを構築しています。インテリジェンスプログラムは、こうした努力によって支えることができます。ただし、新しい技術も必要です。

 ステップ6:自動化する

 インテリジェントプロセスを促進するには、自動化の可能性を探ることが重要です。

 サイバーリスクインテリジェンスプログラムには本質的に、「ビッグデータ」が関わってきます。

 例えば、現行の脅威の最新動向を把握するには、できる限り多くの信頼できる情報源からサイバー攻撃指標を収集することになります。IT環境全体を把握するには、組織全体の関連システムやネットワーク機器のログと完全なパケット情報を蓄積します。インテリジェンスの取り組みの本質は、脅威や脅威に対する組織のセキュリティ体制を理解するために、複数の情報源のデータを相関付けて分析することにあります。

 このようなプログラムでは、あっという間に膨大な量のデータが蓄積してしまいます。すべてのステップを人手で処理するのは、現実的ではありません。プログラムを効果的なものにするには、自動化のほかに、ストレージ、分析、ネットワークアーキテクチャに関する計画が必要です。

 ただし、テクノロジソリューションの導入は、インテリジェンス分析プロセスの開発に取って代わるものではないことを認識することが重要です。自動化されたシステムは、大容量データセットの管理やアクセスを可能にするため、アナリストは、異なるデータタイプの関係性を見いだし、関連性を特定し、アクティビティ形成のパターンに気付くという作業をより簡単に行うことができます。もっとも、自動化システムが完全な分析の要件を満たすわけではありません。

 サイバーリスクインテリジェンスプログラムの特効薬になるような技術は存在しませんが、データの収集、分析、管理を自動化する技術はいくつか提供されています。大手企業がサイバーリスクインテリジェンスプログラムに関して技術に投資している領域は4つあります。

脅威フィードの消費を自動化する

 サイバー攻撃指標の形式は、非構造化データのリストとなっている場合があります。電子メールまたはWebサイト投稿などの自動化されていない方法で提供された場合、手作業での処理が必要です。アナリストはデータベースにデータを入力し、ITインフラストラクチャにこれらの攻撃の兆候がないか調べることになります。

 幸いなことに、自動化された脅威フィード(カンマ区切りのASCIIなど、機械で読み取れるデータ)を提供する政府関係、企業団体、また商用の情報源も増えています。一般的に、自動化された脅威フィードの取り込み技術として、セキュリティ情報/イベント管理(SIEM)システム、ネットワーク監視およびフォレンジックシステム、セキュリティインテリジェンスデータベースが使用されます。

 自動化された脅威フィードの取り扱いに関する課題の1つに、コンテンツの体系化に関する標準がないことがあります。データフィールドの順序は、フィードによって異なります。よって、特定の技術プラットフォームで読み取る前にデ―タの解析が必要です。ただし、複数の情報源からの指標を提供し、データを事前処理して解析してから一貫した形式に変換する集約型の脅威フィードサービスがあります。

 自動化された脅威フィードを現行の環境に統合するもう1つの方法は、脅威データを自動的に取り込むルータ、アンチマルウェア製品、適応認証(Adaptive-Authentication)ソリューションなどの技術プラットフォームを導入することです。

従業員監視情報の収集を自動化する

 大規模なグローバル企業の何千人もいる従業員の情報を収集するのは、プロセスを何らかの形で自動化しなければとても実現できません。インテリジェンスチームが潜在的または実際のインシデントに基づく従業員データを収集したい場合、セキュリティ部門へ電子メールまたは電話などで報告させる方法は、拡張性がありません。

 そこで、インテリジェンスチームにイベントを報告するための、従業員向けの知識管理システムを導入する組織が増えています。これらのシステムは、さまざまなパラメータに基づいた検索ができ、警告を通知するようカスタマイズもできます。

 主な課題は、従業員にどのようなイベントを報告すべきかを周知させ、報告に向けて常時システムを使用してもらうことです。

ログ分析と完全なパケットキャプチャを自動化する

 多くのサイバーリスクインテリジェンスプログラムが注力する分野に、組織自体の内部IT環境の可視化があります。

 セキュリティデータ分析は、大量の顧客データを処理して詐欺行為あるいはビジネスチャンスを発見できるビジネスインテリジェンス(BI)システムをモデルにした、革新的なアプローチとして登場しました。

 「セキュリティインテリジェンス」システムは、エンドユーザーの挙動やシステムのアクティビティなどのデータを処理し、サイバー攻撃指標を見つけます。そのコンセプトは、アプリケーションへのアクセスログやネットワークデータなど、すでに多くの組織が定期的に収集しているデータ、ログや完全なパケットデータを集約し、平常時アクティビティの基準を設定し、異常を検知し、警告を作成し、傾向を解明し、さらにはインシデントの予測など、さまざまな機能を実行することです。

複数の情報源からのデータ統合を自動化する

 一部の組織では、さらに視野を広げ、内部情報源と外部情報源両方からのサイバーリスクデータを「統合センター」または「セキュリティデータウェアハウス」に統合しています。その考え方は、組織のITおよびビジネス環境に関わる現行のデータを、脅威に関する最新情報と統合して大規模な分析エンジンにかけることで、正確な状況認識を実現するというものです。

 これは情報セキュリティを「ビッグデータ」の観点からとらえるものです。これによってセキュリティチームは、セキュリティリスクに関係する情報すべてにリアルタイムでアクセスできます。データベース技術、データストレージシステム、処理能力、分析の進化が、こうした構想の実現を促進しています。

第2回へ
1/2

Index
インテリジェンス主導型情報セキュリティの実現(3)
情報共有体制の構築と改善
Page1
ステップ5:プロセスを定義する
ステップ6:自動化する
  Page2
企業間協力――情報共有の改善
サイバーリスクインテリジェンス機能の構築に向けて

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間
@IT