インテリジェンス主導型情報セキュリティの実現（3）
情報共有体制の構築と改善

Security for Business Innovation Council
2012/3/22

　企業間協力――情報共有の改善

　サイバーリスクインテリジェンスおよび防御戦略の共有は、今日の脅威を巡る状況において早急に実現すべきことです。どの組織も、他の組織とまったく協力せずに自己防衛することは現実的に不可能です。

　非常に都合のいい状況の1つとして、サイバー攻撃指標の交換があります。現行の攻撃手法に関するデータを、大規模なコミュニティが速やかかつ継続的に交換できれば、攻撃者の行動を大きく妨げることができるでしょう。オンライン早期警告システムでは、攻撃に遭っている組織は攻撃プロフィールを共有でき、ほかの組織は類似の（またはまったく同様の）攻撃に対して防御の準備ができます。

　情報セキュリティ担当者の多くは、ほかの企業にいる信頼できる人脈の非公式ネットワークを構築しています。非公式ネットワークは非常に貴重で、組織の情報共有で最も活用される方法でもあります。ただし、非公式ネットワークで広範な情報共有はできません。

　大規模な情報交換の実現に向けて、産業界または政府機関主導のイニシアチブに加えて、官民協力体制がますます増えてきています。さまざまな領域での例を、以下の表でいくつかご紹介します。

領域	情報共有イニシアチブ
グローバル	・Forum of Incident Response and Security Teams（FIRST） ・Industry Consortium for Advancement of Security on the Internet（ICASI）
国	・ヨーロッパおよびアジアのコンピュータ緊急対応チーム（CERT） ・英国のWarning, Advice and Reporting Point（WARP）およびCESG ・米国のSectorial Information Sharing and Analysis Centers（ISAC）、EnergySec、U.S.-CERT、Defense Industrial Base Collaborative Information Sharing Environment（DCISE）、Enduring Security Framework（ESF）
地域	・ワシントン州のPublic Regional Information Security Event Management（PRISEM） ・マサチューセッツ州のAdvanced Cyber-Security Center（ACSC）

　運用モデルとメンバーのプロフィールは異なりますが、これらすべての団体の目標は情報共有と類似しています。また、いくつかは数年前に形成された比較的新しいもので、進化を続けています。情報交換のチャネルとしてすでに効果を発揮している団体もあります。その他の団体は、まだ全メンバーの参加という必要不可欠な水準に達していません。

　情報共有メカニズムの構築には、多くの課題が存在します。リソース不足は大抵の場合、参加を妨害する要素となります。

　同様に、情報の機密性によって共有が進まないこともあります。サイバー攻撃者からどのような形で標的にされているか、他社に知らせたくないというのはもっともなことです。企業は法的問題、競争上の考慮事項、信頼性失墜の懸念によって制限されます。政府機関は、機密要件や国家安全上の理由によって制限されます。

　さらに、サイバー攻撃指標の提供方法を設計することも非常に困難です。どうすれば、注意して扱わなければならない種類の情報を、多くの人々と、最も速いスピードで、すぐに消費できる形態で共有できるシステムを構築できるのでしょうか。

　幸いなことに、特に過去数年間で、より多くの組織が情報共有イニシアチブに参加し始め、貢献を進めています。参加に拍車をかけたのは、ほとんどの場合、個々の企業が率先して「思い切った」決断をし、データを最初に提供して他企業が続くのを期待したことがきっかけとなっています。

　米国のNational Council of ISACsなどのグループも、参加企業数の拡大、部門範囲の拡大、部門間共有の改善に向けて取り組んでいます。

　一部地域の政府では、法的保護の提供を含めて参加を義務化する動きもあります。例えばインド政府は最近、金融および重要インフラストラクチャ部門に対して情報交換への参加を義務化しました。

　このほかにも、膨大なデータの共有を促進する取り組みが進行しています。いくつかの情報共有では、機械で読み取り可能な形式のデータ提供に向けて、試験的プログラムまたは本稼働プログラムを用意しています。

　情報共有グループの経験が増える中、交換団体を成功させるための主な要素として、以下の一連の条件が明らかになっています。

• 参加者間の信頼
• 正式な構造（設立趣意書、役員、リーダー、専門スタッフ）
• 政府および会費を通じた適切な資金供給
• 情報共有における手順の確立とルールの明確化（何を誰と共有するか）
• 機密情報の共有に関する法的枠組み（NDA、政府による避難措置）
• 配布する機密情報を匿名化するための標準化された信頼できる手順
• 情報の発行および配布のための合理化された仕組み（安全なポータル、電子メールの暗号化、機械で読み取り可能な電子署名データ）
• （専任の代表者と実際のデータ貢献による）誠実な参加

　信頼と適時性は、情報共有に欠かせない要素です。既存の情報共有グループ内において、信頼はいまだに個人の人間関係に深く根付いており、持続可能なシステムの構築ができません。安全なポータルまたは保護された電子メールを通じて情報が提供されるかどうかは、特定の個人にかかっているため、情報共有の適時性には依然として課題があります。

　こうした特定人物への依存を取り除くには、自動化されたデータ交換システムを構築することが必要です。さらに、攻撃情報を機械で読み取り可能な形式にして、安全に提供し、リアルタイムに消費できるようにする統一標準は、自動化に役立ちます。

　企業や政府に対するサイバー攻撃の脅威が続く中で、より多くの組織が情報共有への投資に意欲を示すと思われます。インテリジェンス交換に対して効果的に参加するための人材、プロセス、技術を組織が持つことは、道を切り開く上で重要な要素です。

　サイバーリスクインテリジェンス機能の構築に向けて

　高度な脅威の時代において、情報セキュリティへの新たなアプローチが求められています。執拗な攻撃者は、シグネチャベース検知などの一般的に使用されている防御を回避する手段を持ったとき、従来のアプローチでは十分な対応ができないことは明白です。

　これに対し情報セキュリティへのインテリジェンス主導型アプローチは、包括的な状況認識を提供し、組織はより効果的にサイバー攻撃を検知および軽減できるようになります。

　サイバーリスクインテリジェンス機能を構築するには、人材、プロセス、技術への投資が必要です。現在のスキルを向上させ、考え方を転換することが、情報セキュリティチームの課題となります。さらに、セキュリティチームによる確固たる取り組みだけでなく、組織全体のサポートも必要です。

　サイバーリスクインテリジェンスプログラムの価値には、セキュリティとコスト効果の改善が含まれます。防御戦略は、最も巨大な脅威に対抗し、最も重要な戦略的資産を保護するという明確な目的を立てることができます。セキュリティチームは、知識に基づいたリスク決定と適切なセキュリティ制御への投資に必要な知識を得ることができます。

　組織は、サイバーリスクインテリジェンス機能が、もはや国家安全保障機関のためだけのものではなくなっていることを認識しなければなりません。政府団体およびさまざまな業界の企業は、自身の運営や知的財産を、ますます増大する脅威から守るために、この構築に着手する必要があります。

　多くの企業は、競合他社や顧客を理解するために、競合情報や市場情報に対するインテリジェンス機能を構築しています。しかしサイバーリスクインテリジェンスプログラムを構築しているところはほとんどありません。

　ですが、いまではほとんどの業務プロセスやトランザクションがサイバー空間で実施されていると考えれば、詐欺、スパイ活動、妨害工作などの活動もオンラインで実施されているでしょう。その意味でも、サイバーリスクインテリジェンスは、オンライン上のリスクを理解する上で必須の能力といえます。情報力を育成することで、組織は高度な脅威の先回りをするための知識を構築できます。

2/2

Index
インテリジェンス主導型情報セキュリティの実現（3） 情報共有体制の構築と改善
	Page1 ステップ5：プロセスを定義する ステップ6：自動化する
	Page2 企業間協力――情報共有の改善 サイバーリスクインテリジェンス機能の構築に向けて

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）