東陽テクニカ セキュリティ&ラボカンパニー完全オリジナル
サイバーセキュリティ2020最前線
CYBER SECURITY FILES 2020

Chapter #01脅威インテリジェンスの基本を理解する

筆者
紹介

株式会社東陽テクニカ セキュリティ&ラボカンバニーシニアコンサルタント:我妻 敏

東陽テクニカに1987年に入社し、製品の評価や技術サポートに従事。1996年からはネットワークプロトコルアナライザーSniffer University 公認インストラクターを務め、その後IDS( 侵入検知システム)、DDoS検知・対策システム、脆弱性スキャナーなど、幅広いネットワークセキュリティ製品を担当。2016年11月、東陽テクニカ内に新設されたセキュリティ社内カンパニー「セキュリティ&ラボカンパニー」の立ち上げメンバーとして、サイバーセキュリティ分野のソリューション導入コンサルティングや啓蒙活動を現在まで続けている。
研究活動にも従事し、2020年、情報セキュリティ大学院大学後藤研究室を修了。研究成果として、修士論文「階層化原理に基づくプロトコルスタックのモデル化と代表的ICSプロトコルとの比較分析」を発表。サイバーセキュリティについて、インターネットの普及初期から現在までの四半世紀におよぶ経験・知見を持ち、未来に向けた研究にも取り組んでいる。


サイバー脅威に対する「インテリジェンス」とは何か

インテリジェンスという言葉は、もともとは軍事用語であり、諜報活動や情報分析といった意味を持つ。代表的な諜報機関の米国のCIA はCentral Intelligence Agency の略で、インテリジェンスを取り扱う組織であることを示している。インテリジェンスは、CIAが取り扱うような国の存亡をかけて軍事的、国家的に求められるナショナルセキュリティに端を発しているが、現代ではサイバーセキュリティに対して役立つものとして脅威インテリジェンスが普及し始めている。今後、脅威インテリジェンスを利用した意思決定はごく普通の行為になるはずである。
東陽テクニカ セキュリティ&ラボカンバニーでセキュリティ分野の業務に長く携わり、情報セキュリティ大学院大学でも現在も研鑽を積んだ筆者が、脅威インテリジェンスの世界の扉を開いていく。
第1回目は、脅威インテリジェンスの前提となる「インテリジェンス」について学び、脅威インテリジェンスの基礎を紹介する。

  • ビジネスになるサイバー脅威

  • インターネットが普及し始めた1990 年代、サイバー脅威はすでにその芽を出していた。当時はハッカーやクラッカーといった言葉がよく使われた。クラッカーにはインターネット経由でパソコンやサーバーに余計なことをする輩といったニュアンスがあり、その当時はハッカーとクラッカーをわけて呼ぶ風潮があった。ハッカーは、正義の味方であり、あなたのパソコンやサーバーをチェックして問題を指摘してくれる良い人といったイメージだ。家の扉を開けてみて、「カギが空いていますよ」と “ 家の中にメモを置いていく”ような存在だ。一方で、扉を開けてみて、開いた扉から家に侵入し、何かを本当に盗んでいくような存在がクラッカーだ。
    当時から米空軍などでは、セキュリティ対策のツール作成に力を入れていた。1998 年、米ネットワークジェネラルは、通信を監視して異常が合った際に通知する *1IDS(不正侵入検知システム)の提供を始めていて、東陽テクニカでも製品を取り扱った。ネットワークジェネラルは、ネ ットワーク解析・管理ソリューションの Sniffer(スニファ ー)を開発、提供していた会社であり、通信を監視して危険や異常を検知するシステムの必要性を当時から訴求していた。
    ただ、一般の企業では「クラッカーに侵入されて会社のホームページを書き換えられてしまった」といった事態に苦慮する程度で、ネットワークセキュリティの必要性を強く感じているのは一部の人たちだけというような時代だ った。
  • サイバー脅威の変質 90年代から現在|東陽テクニカ セキュリティ&ラボカンパニー【公式】
  • ところが、急速に変化が訪れる。転機はインターネットでE コマースが発達したことだろう。インターネットが商売の道具になってきたことで、その上にある情報をネットワーク経由で何かすると金が儲かるということに一部の人が気づき始めたのだ。それまで、自分の技術や能力を誇示するためにハッカーやクラッカーとして活動していたものが、金儲けをするといった明確な目的によって動くようになった。犯罪集団が出来上がったのである。
  • サイバー攻撃の情勢および取り組み

    情勢概況:警察では、情報窃取を企図したとみられるサイバー攻撃に関する情報をサイバーインテリジェンス情報共有ネットワーク※により事業者等と共有しているところ、同ネットワークを通じて把握した標的型メール攻撃の件数は6,740 件と近年増加傾向にある。
    ※標的型メール攻撃の件数の推移

    推移平成26年1723件から平成30年6740件|東陽テクニカ セキュリティ&ラボカンパニー【公式】

    ※警察と先端技術を有する全国7,777の事業者等(31年1月現在)との間で、情報窃取を企図したとみられるサイバー攻撃に関する情報共有を行う枠組み。内閣サイバーセキュリティセンター(NISC)と連携し、政府機関に対する標的型メール攻撃の分析結果についても情報を共有している。

    引用:国内でも標的型攻撃が増加している(例として、警視庁サイバー犯罪対策、平成30年におけるサイバー空間をめぐる脅威の情勢等について[H31.3.7掲載]

  • そこで改めて「インテリジェンス」とは

  • 既知の *2 マルウエアなどへの対策は、IDS や *1IPS(不正侵入防御システム)のようなセキュリティ対策製品が対応できる。しかし、これからやってくるであろう標的型攻撃や、ブランド価値の毀損を狙った活動にはどうしても 「インテリジェンス」が求められる。
    インテリジェンスとは、多様なデータを集めて分析し、意思決定や判断のために供する情報だ。単なるデータの蓄積や、そのデータを整理・分類しただけのインフォメーションは、インテリジェンスとは言えない。分析・評価・価値づけによってストーリーを作り上げることがインテリジェンスだ。
    データからインテリジェンスの 1 つの例を示そう。第二次世界大戦で、ヒトラー率いるナチスドイツとフランスのレジスタンスとの戦いでのこと。ヒトラーは自軍の戦地にフランス産のワインやシャンパンを送り、士気を高めていた。ところが、このワインの配送ルートの情報がフランスのレジスタンスに届き、ドイツ軍の侵攻先をデータ分析から予測した。戦時中のワインの配送は、戦局とはかかわりのない単なる「データ」だが、これを収集、分析してストーリーを組み立てることで、フランス軍がドイツ軍に対して有利に戦うための「インテリジェンス」を得たのである *3。
    「インテリジェンスは目的を持って生産されたプロダクツである」と理解していただきたい。意思決定者がアクションを起こせるレベルまで昇華された情報が出来上がって、はじめて厳密な意味でのインテリジェンスだ。プロダクツなので「カスタマー」が存在する。カスタマーは、その目的をリクワイヤメントとして持っている。国の元首がカスタマーであれば国の舵取りのための要求、企業の経営者ならばブランドの新しい価値創出やリスクに対しての対処、情報システム部門であれば、セキュリティの新たな脅威に対する防御がリクワイヤメントになることもあるだろう。
    すなわち、インテリジェンスはカスタマーのリクワイヤメントによって、情報の内容や粒度が変わる。さらに、インテリジェンスの生成プロセスは、インテリジェンスサイクルと呼ぶサイクルで考えることが一般的だ。インテリジェンスサイクルでは、カスタマーからの要求に対して、インテリジェンスの生産のための企画や指示、データの収集、情報の処理、というプロセスがある。このサイクルで生産したインテリジェンスは、情報を必要とするカスタマーに届けられ、評価された後に必要に応じてフィードバックされる。一種の PDCA(Plan-Do-Check-Action)サイクルだと考えればよい。
  • リクワイヤメントとインテリジェンスサイクルの関係|東陽テクニカ セキュリティ&ラボカンパニー【公式】
PDF

サイバーセキュリティ2020最前線《Chapter #01》脅威インテリジェンスの基本を理解する

ダウンロードはこちらから

1
2

本ウェブサイトではサイト利用の利便性向上のために「クッキー」と呼ばれる技術を使用しています。サイトの閲覧を続行されるには、クッキーの使用に同意いただきますようお願いいたします。詳しくはプライバシーポリシーをご覧ください。