仕事の大半は、顧客理解とすりあわせ
──サイバーインテリジェンスといえばマンディアントのイメージですが、具体的にどのような業務をされているのか。千田さんの業務内容を含めて改めて教えてください。
マンディアントが最も重視している部分としては、日々現場で得られる知見に重きを置いています。たとえば、不特定多数に対する脆弱性を探索する動きと、既に組織内部へ侵入している攻撃者の発見や追跡など、前者と後者この二つを並べただけでも得られる情報はまったく違うものになります。
マンディアントでは特に後者、侵害対応の部分を大変重視するベンダーです。その中で観測された事実はまさにインテリジェンスの部門に相当し、私を含めたアナリストの中でも特に重視される要素の一つとなっています。
もっとも、弊社はAPTに代表されるような「攻撃者の正体」に関するインテリジェンス収拾の役割が注目されがちです。もちろん、そこは弊社の大きな強みであり、どの攻撃者が自分たちに関係があるかという点は重要ではありますが、まずは自分たちの組織を守ることを追求するという必要性に比べて、特定の攻撃者を徹底的に追跡したいといったニーズは限られています。
ですので、マンディアントの役割としては、お客様にとって関連がある攻撃グループを特定すること。そしてその組織が持っている目的や攻撃手法、いわゆるTTP(Tactics, Techniques, and Procedures)と呼ばれる一連の攻撃手順を把握した上で、お客様のセキュリティ対策に反映する支援を行うことが多いですね。
それ故に、仕事の半分はお客様についてきちんと理解し、どういうビジネスの目的を持ち、優先するものは何か。そしてシステム環境としてどういうものを有しているのか。これまでの方針や経験されてきた因子。攻撃者の痕跡などについて学ばせていただいた上で、うまくすり合わせることが、仕事としては主要な部分を占めています。
さらにその調整と同じぐらい大事な取り組みとしては、セキュリティ投資の妥当性を示す根拠を必ず提示するという点です。もちろんこれはサイバーインテリジェンスに限りませんが、意思決定をする上で十分信頼に足る根拠を、きちんと自信をもって答えられるようにするというのがインテリジェンスの果たすべき役割だと考えています。
ですので、業務としては侵害の結果をいち早く把握するということも含まれるほか、ダークウェブといった攻撃者のインフラ情報を調査することもあります。
その際に、他のお客様に関連するような情報が見つかる場合もあるため、その際は事前にお知らせしたり、監視し続けることも行っています。たとえば、情報窃取を目的としたマルウェアのプラットフォームが複数あり、そういった部分の観測などですね。
とはいえ、事前にそうした情報を発見し伝えるというのは、現実問題としてなかなか難しいのが実状です。当然事前に伝えられればベストですが、セキュリティ侵害への対応支援の過程で用いられた資格情報が攻撃者間で流通していることが、事後にわかるというようなケースもあることから、そういった際に情報を共有させていただくという流れが大半です。
