彼を知り己を知る
「彼を知り己を知れば、百戦あやうからず」
著者は、まず冒頭で孫子の有名な一節を引用し、脅威インテリジェンスの考え方に触れています。脅威インテリジェンスとは、著者の言葉をそのまま引用すると「脅威となる攻撃者に関する情報を集めて防御に役立てていく」という考え方です。
しかし、著者はある問題提起をします。この考え方は誰にも有益である一方で、「脅威インテリジェンス」の標準となる考え方や理論は、現状確立されていないというのです。
そこで著者は、多くの書籍や文献を元に、脅威インテリジェンスの理論や定義を明示した上で、それをどう実務に活かしていくかを語っていきます。本記事では、「脅威インテリジェンス」の定義について触れ、それをいかに「インテリジェンス」として組織内で理解し、伝えるかについて、本書から一部を抜粋し紹介したいと思います。
脅威とは?
「脅威」と聞くと、皆さんは何を想像するでしょうか。何気なく「セキュリティ脅威」と聞いたり話したりするけれど、「脅威」にはどういった意味が含まれているのか。今一度著者の定義を元に考えてみましょう。
著者は「脅威」の定義について、「脅威=意図×機会×能力」という三つの要素が備わった対象としています。
まず意図とは、攻撃グループが組織を狙う目的や動機のことです。これはターゲットとなる組織が保有する、資産や組織的特徴によって決まるとされています。資産であれば金融情報や知的財産情報など、防衛側が事業を行うにあたって活用するものです。組織的特徴とは、たとえば五輪開催中の大会組織委員会や、北朝鮮指導者を揶揄した映画公開を行ったソニーピクチャーズの例[※1]など、組織の役割やコンテクストによって決定されます。
また、機会はそのままの意味どおり、攻撃者による侵入を可能にしてしまう環境や条件が揃っている状態のことです。脆弱性のあるプログラムを更新しなかったり、マルウェアが仕組まれたエクセルを開いて感染してしまったりすることなどが当てはまります。
最後に能力とは、攻撃グループが実行する攻撃手法(ランサムウェアやDDoS攻撃など)や、それに必要なリソース・スキル(マンパワーや資金力、技術力など)のことです。
著者は、こうした脅威の三要素(意図・機会・能力)に関する情報を集め、攻撃グループが持つ動機や攻撃手法に注目することが重要だと説明しています。最も、情報はただ集めれば良いというものではなく、それを組織にとって活用・理解できる形に加工できるかが大切です。そこで必要になるのが、「インテリジェンス」という考えです。では「インテリジェンス」とは何なのか、著者の考えを参照しながら考えていきましょう。
[※1]2014年に起きたソニーピクチャーズエンターテイメントへのハッキング攻撃のこと。北朝鮮の金正恩総書記の暗殺を描いた映画『ザ・インタビュー』への抗議と妨害を意図しているとされ、北朝鮮ハッカーが関与していると米FBIは断定している。
インテリジェンスとは
インテリジェンスという言葉は近年よく耳にするようになりましたが、もともと軍事用語から派生した単語です。著者はインテリジェンスの定義について米国統合参謀本部が発表している「DOD Dictionary of Military and Associated Terms(国防総省軍事用語関連語辞典)」から引用し、以下の三つを挙げています。
- 成果物としてのインテリジェンス
- プロセスとしてのインテリジェンス
- 当該活動に従事する組織:組織としてのインテリジェンス
今回はその一つ、「成果物としてのインテリジェンス」について触れてみたいと思います。以下は、その概念を図で表現したものです。
まず分析環境でデータの収集を行い、その収集結果をデータ(Raw Data:一次情報)とします。一次情報とは、例えば自社システム情報やセキュリティ企業から上がるレポートなどです。この段階ではさまざまな情報が入り乱れ、玉石混交な状態のため、自分たちの組織に合った情報へと加工が必要です。加工されたデータはインフォメーションと呼ばれ、データの正規化や情報の評価が行われます。このインフォメーションを分析し得られた結果を、著者は「インテリジェンス」と呼んでいます。
ここまで「脅威」と「インテリジェンス」の定義について触れてきました。もっとも、インテリジェンスを生成しても、それが組織の構成員に読まれ、理解されなければ意味がありません。そのため著者は「どんなインテリジェンスを誰に価値を提供するか理解すること」が重要だとしています。
古来あらゆる戦争でも、現場には貴重なインテリジェンス情報があったにもかかわらず、それが活用されず、敗北に至ったという歴史があります。そこで最後に、良いインテリジェンスとはなんなのかについて考えてみたいと思います。
