東陽テクニカ セキュリティ&ラボカンパニー完全オリジナル
サイバーセキュリティ2020最前線
CYBER SECURITY FILES 2020

Chapter #02 サイバー脅威に脅威インテリジェンスで備える

筆者
紹介

株式会社東陽テクニカ セキュリティ&ラボカンバニーシニアコンサルタント:我妻 敏

東陽テクニカに1987年に入社し、製品の評価や技術サポートに従事。1996年からはネットワークプロトコルアナライザーSniffer University 公認インストラクターを務め、その後IDS( 侵入検知システム)、DDoS検知・対策システム、脆弱性スキャナーなど、幅広いネットワークセキュリティ製品を担当。2016年11月、東陽テクニカ内に新設されたセキュリティ社内カンパニー「セキュリティ&ラボカンパニー」の立ち上げメンバーとして、サイバーセキュリティ分野のソリューション導入コンサルティングや啓蒙活動を現在まで続けている。
研究活動にも従事し、2020年、情報セキュリティ大学院大学後藤研究室を修了。研究成果として、修士論文「階層化原理に基づくプロトコルスタックのモデル化と代表的ICSプロトコルとの比較分析」を発表。サイバーセキュリティについて、インターネットの普及初期から現在までの四半世紀におよぶ経験・知見を持ち、未来に向けた研究にも取り組んでいる。


脅威インテリジェンスでサイバー脅威を未然に防ぐ

諜報活動や情報分析を意味する「インテリジェンス」。中でも、サイバー脅威から企業を守る「脅威インテリジェンス(CTI:Cyber Threat Intelligence)」が注目されるようになっている。サイバー脅威の多様化と標的を定めた執拗な攻撃が増えたことで、多くの情報を分析してストーリ ーを組み立てて洞察を得る「インテリジェンス」の重要性が高まっているのである。
脅威インテリジェンスの世界の扉を開いていく連作ホワイトペーパーの第2回目は、サイバー脅威に対して、企業が脅威インテリジェンスで備えることの必要性をテーマに掲げる。東陽テクニカ セキュリティ&ラボカンバニーでセキュリティ分野の業務に長く携わり、情報セキュリティ大学院大学で現在も研鑽を続けている筆者が、第1回に続いて考察していく。

  • 高まる脅威インテリジェンスの必然性

  • 脅威インテリジェンスでは、インターネットをはじめとした多様なデータを分析し、そこから将来サイバー脅威として起こる確率が高いストーリーを読み取る。脅威インテリジ ェンスから得られるストーリーを使って、企業は自社のブランドや価値、情報システムを守るための意思決定を行うわけだ。
    脅威インテリジェンスから知見を得ていれば、被害を免れたかもしれない事例がある。日本航空(JAL)が3億8000万円を搾取されたいわゆるビジネスメール詐欺(BEC)である。2017年12月に明らかになったこの詐欺は、一般にも大きな衝撃を与えた。取引先の担当者を装った第三者の偽メールを、正当な取引先からのものと思い、要求された金額を指定口座に振り込んでしまったのである。どんな企業であっても、こうした詐欺グループに狙われてしまったら騙されるリスクは高い。
    狙われていることを事前に予測するには、こうした詐欺メ ールの存在や、業界への攻撃の状況、さらに標的とされる自社のメールアドレスの収集状況など、多くのデータを分析しなければならない。実際、JALと同様の手口の詐欺メ ールは、スカイマークにも2016年、2017年に届いていたが、事なきを得ていた。ビジネスメール詐欺の危険性が高まっていることや、高額な決済が怪しまれない航空業界が狙われていることを脅威インテリジェンスから知り得ていれば、JALの被害は避けられたかもしれないのだ。
  • 本物のCEOの名前とメールアドレスが使われているメール内容|東陽テクニカ セキュリティ&ラボカンパニー【公式】
  • 脅威インテリジェンスとしては、インターネットの中でも一般には見えない「Dark Web」「Deep Web」の情報を収集して分析することで得られる情報の価値が叫ばれる。一方で、こうした事例からは誰もが見られる「Surface Web」上のデータから得られるオープンソースインテリジ ェンスや、業界の情報共有*などからも、データを分析することで得られる知見にも高い価値があることがわかる。脅威インテリジェンスを用いることで、サイバー脅威に対する守りを固めるだけでなく、攻撃に対応する優先順位の決定をしたり、事前に攻撃の芽を摘んだりというアプローチも採れるのである。
  • 何でもつながる「Society 5.0」時代のリスク

  • ビジネスメール詐欺は、サイバー脅威の1つの手法としてリスクが高まっていることを示す一例であり、攻撃者はメールに限らずどこを狙ってくるかわからない。メールならば、対応する担当者のスキルを向上させることで対応が可能かもしれないが、機器やシステム、プラントなどを動かすためのデータが偽物に置き換わっていたら、どうなってしまうだろう。
    日本をはじめ、世界は「つながる社会」へ向けて変貌を遂げている。日本でも政府の「Society 5.0」の掛け声の下で、様々なモノや機器がネットワークにつながるようになってきている。サイバーの世界とフィジカルの世界が連携するサイバーフィジカルシステム(CPS)や、サイバーとフィジカルの世界が相互に強く連動して双子の存在となって制御できるデジタルツインのように、つながる社会では物理的なリアルの世界とサイバーの世界が1つのシステムに結合されていく。
    リアルの世界とサイバーの世界でフィードバックループを作るのが、Society 5.0の世界である。これがうまく機能すれば、社会課題の解決が進み、豊かな社会が生まれるだろう。例えば個々の自動車の位置や走行情報を集められれば、渋滞の現状をサイバーの世界で総合的に理解できる。この渋滞情報から、適切に自動車の走行ルートを制御すれば、都市の渋滞問題の解消につながる。悲しみを生む交通事故も劇的に減らせるだろう。
  • しかし、このフィードバックループでは、収集するデータそのものを誰かが狂わせてしまえば、ループ全体を破滅的な方向に進めることも可能なのだ。渋滞問題解消のためのシステムによって、自動車の衝突が激増する――そんな事態に陥るかもしれない。すなわち、センシングそのものを守らなければならない時代であり、現実に何かが起こる前に間違った分析結果によるフィードバックを止めなければならない。
  • つながる世界

    サイバー空間とフィジカル空間の図|東陽テクニカ セキュリティ&ラボカンパニー【公式】

    つながる世界では、そのシステムから生じる結果ははるかに広く、重いものとなる。被害者になった側が次の攻撃のプラットフォームとなり、より大きな悲劇を生む可能性がある。つながる世界では、自らが健全であることは、他者を守ることにつながっている。その責任は軽くない。

PDF

サイバーセキュリティ2020最前線《Chapter #02》サイバー脅威に脅威インテリジェンスで備える

ダウンロードはこちらから

1
2

本ウェブサイトではサイト利用の利便性向上のために「クッキー」と呼ばれる技術を使用しています。サイトの閲覧を続行されるには、クッキーの使用に同意いただきますようお願いいたします。詳しくはプライバシーポリシーをご覧ください。