標的型ランサムウェアや盗んだ正規メッセージに返信するEmotetなど、サイバー攻撃の手口が近年ますます洗練されてきています。攻撃者の目的は金銭や個人情報、サービス停止など様々ですが、防御側の目的は攻撃者を攻撃することではなく、組織の資産やデータを侵害させないことです。目的のほかに主体や対象など、攻撃側と防御側の関係をまとめたのが表1です。
攻撃側 | 防御側 | |
目的 | 多様 | 侵害の阻止 |
主体 | 不定 | 自組織 |
対象 | どこか | 全て |
人数 | 多数 | 限定的 |
費用 | ゼロ | 限定的 |
進化 | 早い | 緩やか |
対応 | プロアクティブ | リアクティブ |
表1: 非対称な攻撃側と防御側
この表からわかるように、攻撃側と防御側の各項目が同じになることはありません。例えば自組織を守るのは自分たちですが、攻撃側は世界中のアマチュアからプロフェッショナルまで多数存在し、その中の誰が自社を攻撃してくるかわかりません。また攻撃者が利用するインフラやツールのコストは下がり続けてゼロに近づいているなか、企業側ではクラウドやモバイル、IoTなどインフラは拡張し複雑化している上、サイバー攻撃はますます高度化しており、セキュリティにかかる費用をコントロールすることが難しくなってきています。
目的が異なることから利用するツールや戦略も攻撃側と防御側では異なります。このようなサイバーセキュリティの状況を軍事用語を流用して非対称戦(Asymetric Warfare)と呼ぶ人もいます。非対称的な関係において防御側が対抗するために変更余地があるものは多くありません。費用について考えると、企業インフラの変化や攻撃の高度化は今後も続くと予想されるためサイバーセキュリティにかかるコストや人数を大幅に増やすことが可能な組織は少ないでしょう。しかしその他の項目のいくつかは変えることが可能です。
その一つが防衛の主体です。自組織は自分たちの責任で守る必要があります。しかし、それだけでは不特定多数の攻撃者に対し、一つの組織で臨まなければなりません。他組織と協力することでサイバー攻撃者との対峙を「一対多」から「多対多」に変えることが可能です。
他組織と協力する方法はいくつかあります。例えば、親会社や持株会社のリーダーシップのもと、子会社やグループ会社と共同で利用するサイバーセキュリティ共通基盤を整備し運用する方法がその一つです。この場合、防衛力が高まることに加え、組織の規模にかかわらず一定レベルのセキュリティの維持、グループ全体のガバナンスの強化、トータルコストの削減、そして人員や予算などリソース不足の解消等が行うことができます。このような共通基盤の構築や利用ができない場合は、資本関係の薄い関連会社やサプライチェーン、その他の組織とは実際の攻撃に関する情報、すなわち脅威インテリジェンスの共有を行うことで協力関係を構築する方法もあります。
脅威インテリジェンスの利点の一つは、他組織で実際に発生した攻撃から自組織の防御力を高められることです。たとえば脅威インテリジェンスの一つに攻撃の痕跡情報があげられますが、ネットワークや端末上にそうした痕跡が残っていないかを確認すれば、自社が同じ攻撃者による攻撃を受けていないかどうか確認できます。また、攻撃者が侵入や遠隔操作を行う手順が共有された情報に含まれていれば、防御・検出の対応をとり、同じ手口が使えないようにすることもできます。
組織間における脅威インテリジェンス共有の例として、同じ業界の他社と情報共有を行うISAC(Information Sharing and Analysis Center)があります。日本国内でも金融ISACやICT-ISAC、電力ISACが各業界で設立されていて、活発な情報交換や分析が行われています。弊社も他のサイバーセキュリティ企業各社と脅威インテリジェンス共有を行う組織 Cyber Threat Alliance を結成し、原稿執筆時点では月間平均450万の情報を会員組織間で共有しています。
同じ課題を持つ組織を集め、攻撃に関する情報共有の枠組みを作ることは可能ですが、これを持続させるには少なくとも3つの課題を解決する必要があります。
現代の洗練されたサイバー攻撃に単独で挑むのは困難が伴います。同じ課題を持つ人は身近に大勢いるため、共同でサイバー攻撃に対処していく仕組みづくりを行うことで防御力の強化やコストの低減につながる可能性があります。特に、脅威インテリジェンスを積極的に共有することでグループ会社やサプライチェーン、同業他社のリスクが低下し、結果的に自組織も恩恵を享受することができます。
脅威インテリジェンスとその共有や自動化についての詳細情報は次の資料も合わせてご確認ください。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.