サイバーセキュリティは非対称な戦い
標的型ランサムウェアや盗んだ正規メッセージに返信するEmotetなど、サイバー攻撃の手口が近年ますます洗練されてきています。攻撃者の目的は金銭や個人情報、サービス停止など様々ですが、防御側の目的は攻撃者を攻撃することではなく、組織の資産やデータを侵害させないことです。目的のほかに主体や対象など、攻撃側と防御側の関係をまとめたのが表1です。
| 攻撃側 | 防御側 | |
| 目的 | 多様 | 侵害の阻止 |
| 主体 | 不定 | 自組織 |
| 対象 | どこか | 全て |
| 人数 | 多数 | 限定的 |
| 費用 | ゼロ | 限定的 |
| 進化 | 早い | 緩やか |
| 対応 | プロアクティブ | リアクティブ |
表1: 非対称な攻撃側と防御側
この表からわかるように、攻撃側と防御側の各項目が同じになることはありません。例えば自組織を守るのは自分たちですが、攻撃側は世界中のアマチュアからプロフェッショナルまで多数存在し、その中の誰が自社を攻撃してくるかわかりません。また攻撃者が利用するインフラやツールのコストは下がり続けてゼロに近づいているなか、企業側ではクラウドやモバイル、IoTなどインフラは拡張し複雑化している上、サイバー攻撃はますます高度化しており、セキュリティにかかる費用をコントロールすることが難しくなってきています。
目的が異なることから利用するツールや戦略も攻撃側と防御側では異なります。このようなサイバーセキュリティの状況を軍事用語を流用して非対称戦(Asymetric Warfare)と呼ぶ人もいます。非対称的な関係において防御側が対抗するために変更余地があるものは多くありません。費用について考えると、企業インフラの変化や攻撃の高度化は今後も続くと予想されるためサイバーセキュリティにかかるコストや人数を大幅に増やすことが可能な組織は少ないでしょう。しかしその他の項目のいくつかは変えることが可能です。
協力関係の構築
その一つが防衛の主体です。自組織は自分たちの責任で守る必要があります。しかし、それだけでは不特定多数の攻撃者に対し、一つの組織で臨まなければなりません。他組織と協力することでサイバー攻撃者との対峙を「一対多」から「多対多」に変えることが可能です。
他組織と協力する方法はいくつかあります。例えば、親会社や持株会社のリーダーシップのもと、子会社やグループ会社と共同で利用するサイバーセキュリティ共通基盤を整備し運用する方法がその一つです。この場合、防衛力が高まることに加え、組織の規模にかかわらず一定レベルのセキュリティの維持、グループ全体のガバナンスの強化、トータルコストの削減、そして人員や予算などリソース不足の解消等が行うことができます。このような共通基盤の構築や利用ができない場合は、資本関係の薄い関連会社やサプライチェーン、その他の組織とは実際の攻撃に関する情報、すなわち脅威インテリジェンスの共有を行うことで協力関係を構築する方法もあります。
脅威インテリジェンスの利点の一つは、他組織で実際に発生した攻撃から自組織の防御力を高められることです。たとえば脅威インテリジェンスの一つに攻撃の痕跡情報があげられますが、ネットワークや端末上にそうした痕跡が残っていないかを確認すれば、自社が同じ攻撃者による攻撃を受けていないかどうか確認できます。また、攻撃者が侵入や遠隔操作を行う手順が共有された情報に含まれていれば、防御・検出の対応をとり、同じ手口が使えないようにすることもできます。
組織間における脅威インテリジェンス共有の例として、同じ業界の他社と情報共有を行うISAC(Information Sharing and Analysis Center)があります。日本国内でも金融ISACやICT-ISAC、電力ISACが各業界で設立されていて、活発な情報交換や分析が行われています。弊社も他のサイバーセキュリティ企業各社と脅威インテリジェンス共有を行う組織 Cyber Threat Alliance を結成し、原稿執筆時点では月間平均450万の情報を会員組織間で共有しています。
情報共有の3つの課題
同じ課題を持つ組織を集め、攻撃に関する情報共有の枠組みを作ることは可能ですが、これを持続させるには少なくとも3つの課題を解決する必要があります。
-
- メンバー間の信頼関係の醸成: 被害の大小にかかわらず、自社がサイバー攻撃を受けたことを進んで共有したい企業は多くありません。特にビジネスの世界で切磋琢磨する同業他社と共有することに抵抗感がある経営者や担当者がいても不思議ではありません。規約の徹底や秘密保持契約の締結といった仕組みによる保護だけでなく、担当者レベルでの信頼関係の醸成が情報の保護と積極的な情報共有の推進を可能にします。
- フリーライダーへの対応: 同規模の組織間、または少数の参加者で情報共有をおこなう場合、対等な関係で互いに貢献することができます。しかし参加者の数が増え、組織規模にばらつきが出てきた場合、情報提供者に偏りが出てきます。セキュリティ部門に情報共有するだけの十分な人員や必要なスキルを持つ担当者を配置できない組織も少なくありません。また情報共有の有用性に理解のない担当者がいる場合もあります。こうした組織が情報共有の枠組みに参加した際、情報を提供することがなく、一方的に受け取るだけのフリーライダーとなる可能性があります。善意の情報にタダ乗りする存在が情報提供者のモチベーションへ与える影響は少なくなく、組織連携自体の存続につながることもあるため、情報共有の枠組みを作る際にフリーライダーの取り扱いについては慎重に議論を行う必要があります。
- 情報処理の自動化: 脅威インテリジェンスで共有される情報には、攻撃に利用されたドメイン名やIPアドレスなどのように機械的に処理されることで効率よく防御や検出に利用可能なものが含まれています。一方で、攻撃者の背景や攻撃の手口など、人間が読むことで理解し防御の向上や脅威ハンティングに利用できる情報もあります。それぞれ利用する場面が異なりますが、多くの情報を活用しようとすると機械的に処理できる情報は可能な限り自動化を行うことが必要となります。自動化を考慮しないで情報共有に参加した場合、受け取るだけになるケースもあるため注意が必要です。
まとめ
現代の洗練されたサイバー攻撃に単独で挑むのは困難が伴います。同じ課題を持つ人は身近に大勢いるため、共同でサイバー攻撃に対処していく仕組みづくりを行うことで防御力の強化やコストの低減につながる可能性があります。特に、脅威インテリジェンスを積極的に共有することでグループ会社やサプライチェーン、同業他社のリスクが低下し、結果的に自組織も恩恵を享受することができます。
脅威インテリジェンスとその共有や自動化についての詳細情報は次の資料も合わせてご確認ください。
- オンデマンドウェビナー サイバー脅威インテリジェンス:データの共有と収集がサバイバルに不可欠な理由
- 脅威インテリジェンスチーム Unit 42
- セキュリティ運用における脅威インテリジェンス管理の自動化とオーケストレーション Cortex™️ XSOAR
- 脅威インテリジェンスのワンストップショップ AutoFocus™️