検索
サイバー脅威に関する情報を4つに分類
本書では経営層の関与や意思決定の必要性を繰り返し説いてきました。意思決定を行うには、さまざまな情報ソースを意思決定に資する情報(洞察)に仕立て上げていく必要があります。
[図表4]のように、情報ソースを収集・分析して、サイバー脅威に関する情報へと形を変え、最終的には意思決定に用いることができる洞察にまで仕立て上げていくのです。
[図表4]中央の図は、サイバー脅威に関する情報を4つに分類し、「攻撃者と被害者」「攻撃能力と攻撃機会」という2つの軸で表現しています。
「攻撃者」は、まず攻撃の帰属の分析を行います。これは「誰が攻撃しているのか」「どういう組織に属しているのか」といったことで、さらにそこから意図や動機も探ります。
「被害者」とは、「どの組織が狙われるのか」「狙われてどのような被害に遭ったのか」といった情報です。「攻撃能力」とは、マルウェアや侵入先のシステムがもともと持っている機能を使った攻撃(Living off the landと呼ばれている)の能力のことです。
最後に「攻撃機会」ですが、サイバー攻撃はインターネットを経由してきますので、攻撃に使われているインターネット上のインフラなどの情報を利用します。たとえば、DNS※2どがあります。これらの情報を組み合わせて、最終的には洞察に仕立て上げていきます。
※2DNS=ドメイン名とIPアドレスを結びつけるシステム。
たとえばWebブラウザに「https://jpn.nec.com/」とドメイン名を入力すると、DNSがインターネット上の住所(IPアドレス)に変換してNECのサイトにつなげてくれる。
セキュリティリスク管理の意思決定に使われる脅威インテリジェンスの例としては、次のようなものがあります。
1. 攻撃アクター
「攻撃者」とほぼ同じで、グループに対して名づけられています。どのグループが、いつ、どのような手法で攻撃し、どんな被害があったのかというようなナレッジが脅威インテリジェンスです。
2. 攻撃の手口
侵入経路や最終的にどういう情報を窃取するのかというような手段のことで、一覧にまとめて公開されているものもあります。
3. 不備の特徴
「攻撃の機会」に該当する情報で、どういう脆弱性が狙われているのか、どういう不備を使って攻撃をしてくるのかといったものです。
4. 悪用事案
他の組織が被害に遭った事案の情報を駆使して意思決定に活用します。
脅威インテリジェンスの分析における4つのポイント
サイバー脅威に関する情報の分析の観点や目的には、次のようなものがあります。
- 信頼度:情報の確からしさ、分析の確信度合い
- 関係性:物事の関連性、つながり
- 影響度:被害の影響度合い、事業へのインパクト
- 時系列:事象やイベントの発生日
- 過去の蓄積:攻撃者が用いる攻撃手法、キャンペーン
- トレンド
- 予測
この中の「キャンペーン」とは、たとえば、選挙や国際イベントといった特定の期間において攻撃者がグループで集中的に活動することがあるため、そのときの情報を蓄積しておいて活用します。また、新しい攻撃手法を編み出した際に、対策される前に集中的な攻撃を実施するケースもキャンペーンの一種です。
「トレンド」とは、「どのような攻撃が、どれぐらいの規模で、いつ流行したのか」といったトレンドの分析です。
「予測」は、「この先どんな攻撃者が活発に活動するか」「どういう攻撃手法が流行するのか」を予測していくことです。
注目のセミナー情報
【国内不動産】10月3日(木)開催
【ローンのお悩みをズバッと解決】
保証会社役員登壇!まずは借入額を知ってから始める物件探しセミナー
【海外不動産】10月3日(木)開催
【特別プランをセミナー限定でご紹介!】
カンボジア・プノンペン初のアートコンドミニアム
Picasso Sky Gemmeの魅力徹底解説セミナー
