サイバーセキュリティは、終わることのない闘いであり、攻撃者も企業も常にその手法を磨き続けています。攻撃の量が増え、手口も高度になるなど、最近の攻撃者が進歩しているのに対抗して、企業もインテリジェンス主導でセキュリティにアプローチするように変わりつつあります。そのため、有効なサイバーセキュリティプログラムを作成するうえで、今や脅威インテリジェンスが不可欠になってきました。
簡単に定義すると、脅威インテリジェンスとは、資産に対する危険に際して、脅威への最善の対応を決定できる情報のことです。危険に伴う具体的なメカニズムや指標、該当する攻撃者についての背景情報(動機や実力、今後の展望など)があれば、企業は脅威のリスクを評価でき、事前に対抗策を準備して、標的型の活動を集中的に検出することができます。
業界では、脅威インテリジェンスをこのような形で利用することの妥当性について広く合意がありますが、企業が脅威インテリジェンスプログラムを作成する過程では間違いを犯すこともあり、そうなれば失敗や非効率につながるかもしれません。
サイバーインテリジェンスにおける長年の経験と専門知識から、シマンテックは企業が直面している課題を把握しています。そこでシマンテックは、DarkReadingと提携して、脅威インテリジェンスについての典型的な落とし穴を調べ、戦略的なベストプラクティスに関する指針を定めています。
企業が避けるべきインテリジェンス上の落とし穴を、以下に紹介します。
1. インテリジェンスについて明確なプログラムとプロセスがない
企業が、特定の戦術的なニーズから脅威インテリジェンスを利用し始めることも珍しくありません。そのような場合、的確に定義され統一感のあるインテリジェンスプログラムを実施すれば、もっと適した使い方が可能になることが、時間の経過とともにわかってきます。優先順位を決めた統一の目標と明確なプロセスを定め、適切なサポート人員も確保したうえでインテリジェンスプログラムを作成できるよう、十分な時間をとってください。そしてもちろん、ニーズの変化に応じて更新できることも必要です。すでに述べたように、攻撃者が手法を変化させている以上、こちらも迅速に対応できなければなりません。できることなら、何手か先を目指すべきでしょう。
現在のインテリジェンスプログラムは、悪質な活動に対応するだけでなく、主要な資産に対する今後の脅威も予測できるでしょうか。計画、チーム、プロセスは用意できているでしょうか。
いずれかが欠けていれば、セキュリティ対策の断片化が広がる恐れがあり、事前に攻撃を予測してそれに先んじるチャンスを失いかねません。保護と検出のテクノロジーを確保し、セキュリティチームの態勢を作るために必要な脅威インテリジェンスのタイプを戦略的に洗い出して、統一的なインテリジェンスプログラムを作成しましょう。
2. 不適切なインテリジェンスに依存している
脅威インテリジェンスといっても一律ではありません。
インテリジェンスから正しく本質を見抜くためには、そのベースとして質の高いインテリジェンスのソースと解析が必要です。脅威インテリジェンスプログラムのソースは、慎重に選ぶ必要があります。
情報ソースは、その内容だけでなく、関連性や精度、範囲、タイムリーかどうかなども基準に選んでください。ベースとなるデータソースと、その収集対象についても理解が必要です。精度のためには、グローバルなデータと地域的なデータ、業界固有のデータも含めた広い収集能力が欠かせません。ソースのコストの高低にかかわらず、期待にはそぐわない可能性もあります。インテリジェンスの質が低ければ、高度な脅威を識別できる能力が損なわれ、必然的に意思決定の能力も低くなって、企業は不要なリスクを抱えることになります。
3. 経営幹部のなかで主な利用者を特定できていない
サイバーセキュリティは役員レベルの決定事項であり、ブランド評価、収益、パートナーシップなど、ビジネスの多方面に影響します。したがって、役員レベルでは「攻撃を受けたのか」という会話にとどまらず、「どんなリスクについて知るべきか、どう備えるのが最適か」という会話にまで踏み込むことになります。適切なインテリジェンスがあれば、セキュリティの責任者は現在の脅威について経営幹部にあらかじめ情報を伝え、リスク緩和に必要な対策をとることができ、セキュリティ予算とビジネス目標のすり合わせも明らかになります。
さらに詳しい情報をご希望ですか。
ホワイトペーパー全編(英語)をダウンロードし、脅威インテリジェンスをめぐる典型的な落とし穴についてお読みください。
【参考訳】