Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

脅威インテリジェンスの3階層(後編)

 安全保障の専門家である彼は、3階層を次のように分類・定義していた。

 

1)Strategic Threat Intelligence

 経営戦略・事業戦略・サイバーセキュリティ戦略に活用できるもの。サイバー攻撃を誰がなぜ仕掛けてくるかを推測できる。例として、攻撃者の属性・組織構成・攻撃の狙い・動機、政策との関連性・地政学的背景など。

 

 これらは主として企業の経営層(含むCISO)が必要とする情報だろう。ただこれらが分かっても、自社がなぜ狙われるのか、守るべきものは何かが分からないと意味をなさない。自社の企業戦略・重要情報・研究開発内容などが経営者の頭の中に入っていないと、ただ外部情報だけ集めてもムダに終わる。これらの情報は必要とされる人(Need to Know)に届ける必要があるのだ。

 

2)Operational Threat Intelligence

 リスク評価、リスク低減計画の立案・実行、インシデント対応等に活用できるもの。サイバー攻撃がどこに、どのようにやってくるかを推測できる。例として、攻撃手法、攻撃対象、脆弱性情報、戦術・技術・手順(TTP)など。

 

 これらはリスク担当(CRO)やインシデント対応部署が必要とする情報。1)の戦略情報で自社の防御すべき範囲が絞られていれば、より効率的な防御ができる。これらの情報である程度の予防もできるし、インシデント発生時も被害の限定や速やかな復旧が期待できる。

    f:id:nicky-akira:20210812100504j:plain

 

3)Tactical Threat Intelligence

 脅威の検知・検出・対処に活用できる "Machine Readable" なもの。サイバー攻撃の具体的な中身である。マルウェアハッシュ値、攻撃元のIPアドレス等の侵害指標(Indicator of Compromise:IoC)など。

 

 これらは防御システムに組み込んで置き、人手を介さなくてもシステムが検知・検出・対処をしてくれ、ワーニングを流すことができる。攻撃者も自動化したツールを使うだろうが、防御側もある程度の自動化が可能。将来的には攻撃者も防御側も、AIをフル活用することになろう。

 

 脅威インテリジェンスと言う言葉だけでは分かりにくかった内容が、すこし整理できたように思います。教えてくれた人に感謝です。