吉田松陰の松下村塾には、「飛耳長目」と題した帳面があったそうです。これは管子の九守(君主としての九つの心得)の一つ目と二つ目から取られているとのこと(「一曰長目、二曰飛耳」)。この名言を経営の文脈に置いてみると、確かに遠くから情報を集め広く見通すのは、戦略的に比較優位なポジションを取るためには必須のスタートラインではありましょう。

ではそれで、現代のデジタル世界で勝てますか?というところが、今回の(サイバー)脅威インテリジェンスのお話となります。実は、先の九守の三番目には、「三曰樹明」とあります。明晰な知の働きです。情報優位は必要条件ですが、推察の働くことが十分条件として備わることが望ましいのは、言われればその通りです。

サイバーセキュリティの専門家、あるいはセキュリティ市場で、長年人口に膾炙(かいしゃ)している「脅威インテリジェンスの有用性」は、サイバーセキュリティに限った話なのでしょうか? それとも、集まったインテリジェンスと言われる情報から知恵を引き出すと経営の視点からしても、有用となるのでしょうか? 一般向けに整理したものは少ないようですので、いつものようにSteve Durbinが読みほどいているブログにさっと目を通すことにしましょう。

(ここから引用)


サイバー脅威インテリジェンスがビジネスにもたらすセキュリティと価値を考える

Published: November 21, 2022
SOURCE:Spicework
Steve Durbin, Chief Executive, Information Security Forum

(Image: ISF)

 

企業の多くは、サイバー攻撃が増大の一途をたどるなか、自社事業を攻撃から未然に防ぎたいと考え、最新のセキュリティ動向や攻撃経路を常に把握しようと、セキュリティ対策に余念がありません。ところが、サイバー脅威を常に把握して防御しつづけることは、「言うは易く行うは難し」です。

ITによるネットワーク化は進むだけでなく複雑さを増しております。脅威の対象となる領域もリモートワーカー、BYOD、シャドーIT、モノのインターネットなどに拡大している中で、サイバーセキュリティのスキルを持つ技能者も欠乏しているという差し迫った問題もあります。ITチームやセキュリティチームがセキュリティ情報を収集し、処理し、分析を加えた上で、攻撃者の戦術を監視するとなると、より一層難易度が高くなり圧倒的に不利な状況になっているのです。このため、企業としては、膨大な量のセキュリティデータをフィルタリングして文脈を把握し、主要な脅威の是正に優先順位をつけることができるしっかりしたメカニズムが必要です。そこで注目されるのが、サイバー脅威インテリジェンスです。

サイバー脅威インテリジェンスとは何か?

サイバーセキュリティの文脈では、「脅威」とは、情報資産に悪影響を及ぼすものを意味する用語です。その意味する範囲は、脆弱性(SolarwindsやLog4jなどの事例を参照)から、インサイダーの脅威(不満を持った従業員や従業員の不注意などが起こすもの)、さらには、犯罪組織からハクティビストや国家が支援する攻撃者まで、多岐にわたります。それに対しての「インテリジェンス」とは、当然のことながら、複数のソース(セキュリティシステム、ファイアウォール、ユーザーやエンティティの挙動分析、SIEMなどの内部ソースと、オープンソースのインテリジェンス、ソーシャルメディアのインテリジェンス、ダークウェブのインテリジェンスなどの外部ソース)から得られる情報を指します。総合的に言えば、脅威インテリジェンスとは、敵対的な脅威(自社に対する現在の攻撃と予測される攻撃の両方)に関する、適切かつタイムリーでビジネス文脈に即した、信頼性が高く対処の方法が明確な情報のことを指します。

サイバー脅威インテリジェンスにはどのようなレベルがあるのか?

サイバー脅威インテリジェンス(CTI: Cyber Threat Intelligence)は、大きく3つのレベルに分けることができます。最上位レベルは戦略的脅威インテリジェンスで、脅威の状況をマクロに捉え、新たなトレンドと戦略的洞察を組み合わせたもので、四半期ごとや年次での脅威レポートを求める経営幹部が主な利用対象者となっています。

その下のレベルは戦術的インテリジェンスで、これは短期または中期の見通しの視点となります。戦術的インテリジェンスでは、TTPs(戦術、技術、手順)を分析し、リアルタイムの情報を駆使して脅威を追い、モニタリングし、すべてのセキュリティメカニズムが配置され、現在の脅威状況に合わせて機能していることを確認します。このレベルの情報は、ITおよびセキュリティの責任者、分析者、技術チームが、より事前予防的なバリアを構築するために利用するのに適しています。

そして最後の、あるいは最下層のレベルは、運用インテリジェンスです。このレベルは、SOC(セキュリティオペレーションセンター)およびサイバーセキュリティのレスポンダーに有用な情報であり、差し迫った脅威に備えるため、もしくは必要に応じて防御を強化するために不可欠な、侵入した攻撃およびリアルタイムのレスポンスに関する詳細なデータに重点を置いています。