SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

BOOKS

サイバー攻撃にどう備える? 誰もが持つべき脅威インテリジェンスの基礎理論

 昨年11月より、再び猛威を振るい始めたEmotet。日本国内で多くの企業や組織、自治体でその被害が報告されました。さらにはロシアによるウクライナ侵攻以降、多くの日本企業がサイバー攻撃を受けており、まさに今ほど日本人にとってサイバー攻撃の脅威を痛切に感じられる瞬間はないでしょう。しかしその脅威に対して、具体的にどういった対応を取れば良いかわからない方々も多いと思われます。そこで今まさにお勧めしたいのが、サイバーセキュリティ専門家の石川朝久著『脅威インテリジェンスの教科書』(技術評論社)です。セキュリティ脅威をどのように考え、対処するべきなのか。具体的な理論や思考法からその方法を考えます。

彼を知り己を知る

 「彼を知り己を知れば、百戦あやうからず」

 著者は、まず冒頭で孫子の有名な一節を引用し、脅威インテリジェンスの考え方に触れています。脅威インテリジェンスとは、著者の言葉をそのまま引用すると「脅威となる攻撃者に関する情報を集めて防御に役立てていく」という考え方です。

 しかし、著者はある問題提起をします。この考え方は誰にも有益である一方で、「脅威インテリジェンス」の標準となる考え方や理論は、現状確立されていないというのです。

 そこで著者は、多くの書籍や文献を元に、脅威インテリジェンスの理論や定義を明示した上で、それをどう実務に活かしていくかを語っていきます。本記事では、「脅威インテリジェンス」の定義について触れ、それをいかに「インテリジェンス」として組織内で理解し、伝えるかについて、本書から一部を抜粋し紹介したいと思います。

脅威とは?

 「脅威」と聞くと、皆さんは何を想像するでしょうか。何気なく「セキュリティ脅威」と聞いたり話したりするけれど、「脅威」にはどういった意味が含まれているのか。今一度著者の定義を元に考えてみましょう。

 著者は「脅威」の定義について、「脅威意図×機会×能力」という三つの要素が備わった対象としています。

 まず意図とは、攻撃グループが組織を狙う目的や動機のことです。これはターゲットとなる組織が保有する、資産や組織的特徴によって決まるとされています。資産であれば金融情報知的財産情報など、防衛側が事業を行うにあたって活用するものです。組織的特徴とは、たとえば五輪開催中の大会組織委員会や、北朝鮮指導者を揶揄した映画公開を行ったソニーピクチャーズの例[※1]など、組織の役割やコンテクストによって決定されます。

 また、機会はそのままの意味どおり、攻撃者による侵入を可能にしてしまう環境や条件が揃っている状態のことです。脆弱性のあるプログラムを更新しなかったり、マルウェアが仕組まれたエクセルを開いて感染してしまったりすることなどが当てはまります。

 最後に能力とは、攻撃グループが実行する攻撃手法(ランサムウェアやDDoS攻撃など)や、それに必要なリソース・スキル(マンパワーや資金力、技術力など)のことです。

 著者は、こうした脅威の三要素(意図・機会・能力)に関する情報を集め、攻撃グループが持つ動機や攻撃手法に注目することが重要だと説明しています。最も、情報はただ集めれば良いというものではなく、それを組織にとって活用・理解できる形に加工できるかが大切です。そこで必要になるのが、「インテリジェンス」という考えです。では「インテリジェンス」とは何なのか、著者の考えを参照しながら考えていきましょう。

[※1]2014年に起きたソニーピクチャーズエンターテイメントへのハッキング攻撃のこと。北朝鮮の金正恩総書記の暗殺を描いた映画『ザ・インタビュー』への抗議と妨害を意図しているとされ、北朝鮮ハッカーが関与していると米FBIは断定している。

インテリジェンスとは

 インテリジェンスという言葉は近年よく耳にするようになりましたが、もともと軍事用語から派生した単語です。著者はインテリジェンスの定義について米国統合参謀本部が発表している「DOD Dictionary of Military and Associated Terms(国防総省軍事用語関連語辞典)」から引用し、以下の三つを挙げています。

  • 成果物としてのインテリジェンス
  • プロセスとしてのインテリジェンス
  • 当該活動に従事する組織:組織としてのインテリジェンス

 今回はその一つ、「成果物としてのインテリジェンス」について触れてみたいと思います。以下は、その概念を図で表現したものです。

 まず分析環境でデータの収集を行い、その収集結果をデータ(Raw Data:一次情報)とします。一次情報とは、例えば自社システム情報やセキュリティ企業から上がるレポートなどです。この段階ではさまざまな情報が入り乱れ、玉石混交な状態のため、自分たちの組織に合った情報へと加工が必要です。加工されたデータはインフォメーションと呼ばれ、データの正規化や情報の評価が行われます。このインフォメーションを分析し得られた結果を、著者は「インテリジェンス」と呼んでいます。

 ここまで「脅威」と「インテリジェンス」の定義について触れてきました。もっとも、インテリジェンスを生成しても、それが組織の構成員に読まれ、理解されなければ意味がありません。そのため著者は「どんなインテリジェンスを誰に価値を提供するか理解すること」が重要だとしています。

 古来あらゆる戦争でも、現場には貴重なインテリジェンス情報があったにもかかわらず、それが活用されず、敗北に至ったという歴史があります。そこで最後に、良いインテリジェンスとはなんなのかについて考えてみたいと思います。

次のページ
良いインテリジェンスとは

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
BOOKS連載記事一覧

もっと読む

この記事の著者

西隅 秀人(編集部)(ニシズミ ヒデト)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15868 2022/04/27 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング