セキュリティ管理のメモ帳

セキュリティに関する備忘録

「脅威インテリジェンス」について

ISO27002管理策の考察

はじめに

 情報セキュリティのための管理策の中で組織的対策として分類されている「脅威インテリジェンス」について、主要なガイドライン及び書籍を参考に簡潔に残しておきます。
 なお、本管理策については国内専門家の書籍により有用な情報が発信されています。
 本ブログでは、なるべく具体的に書くことを心掛けていますが、本稿については、専門書(脅威インテリジェンスの教科書)を参考にしているため、著作権の関係もあり、概略部分のみをお伝えします。詳細についてはそちらをご確認ください。

管理策の概要

 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.7 Threat intelligence から引用

Purpose:
To provide awareness of the organization’s threat environment so that the appropriate mitigation actions can be taken.
管理目的:
組織の脅威環境について認識を深め、適切な緩和策を講じることをできるようにするため。

Control:
Information relating to information security threats should be collected and analysed to produce threat intelligence.
Threat intelligence is about collecting and analysing information about existing or emerging threats in order to facilitate informed actions to prevent the threats from causing harm to the organization, or reduce the impact of such threats.
管理策:
情報セキュリティに関連する脅威情報を収集及び分析し、脅威インテリジェンスを構築する。
脅威インテリジェンスとは、脅威が組織に害を及ぼすのを防ぐため、またはそのような脅威の影響を軽減するための情報に基づくアクションを促進するために、既存または新たな脅威に関する情報を収集および分析することが望ましい。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 本管理策は、「組織を取り巻く脅威環境を適宜認識するため、組織に関連する脅威の情報を収集し、分析すること」つまり、脅威インテリジェンスについて言及されています。
 脅威インテリジェンスにより得られた分析結果は、当該脅威に対する予防、検出を目的とした以下の管理策を実施する際、インプット情報として利用されるため、その精度が活用先の管理策の有効性に影響します。

  • 5.1 情報セキュリティのための方針
  • 5.5 関係当局との連絡
  • 5.25 情報セキュリティイベントの評価と決定
  • 8.7 マルウェアに対する保護
  • 8.16 監視活動
  • 8.20 ネットワーク管理策
  • 8.22 Webフィルタリング

 また、次項で述べますが脅威はリスクの一要素とされる事が多いため、脅威インテリジェンスにより得られる情報は、リスクアセスメント実施時にも重要な指標として活用されます。

脅威インテリジェンスが必要とされる背景

 脅威インテリジェンスが必要とされるようになった背景について簡単にまとめます。
 まず、脅威の特定が必要な理由はリスクマネジメントに深く関連します。情報リスクの要因分析を行うためのフレームワークを提供しているFAIR(Factor Analysis of Information Risk)では、下図のようにリスク構造を表しており、リスク(損失事象の発生頻度)に影響を与える一つの要素として「脅威事象の発生頻度」が含まれています。

図 FAIRによるリスク構造

 セキュリティマネジメントは、リスクマネジメントに基づく実施により合理的な運用が可能となりますので、脅威の特定はセキュリティ(特にサイバーセキュリティ)にとって重要なプロセスとなります。しかしながら、実際には脅威はその主体が組織の管理外であることが多くコントロールが及ばないため、従来はリスクに影響を与えるもう一つ要素であり、組織によるコントロールが可能な脆弱性を優先する対策が実施されてきました。
 他方、近年は以下を目的とした脅威の深い理解が必要とされており、脅威に関するより有用な情報(脅威インテリジェンス)が必要とされています。

より効果的・効率的なセキュリティ管理
  • 限られたセキュリティリソースを効果的なものとするため脆弱性対応の優先度を明らかにする
  • 最新の脅威・攻撃手法に対しどの程度リスクを低減できているか明らかにする
サイバーセキュリティ上の脅威への検知・対応の速やかな実施
  • これまで優先されてきたインシデントの予防策と共にインシデントの発生を想定した軽減策(検知・対応)を準備する

 上記が脅威インテリジェンスの本来の目的と言って良いと思います。

分類

脅威インテリジェンスは多岐にわたるため、以下の三つの観点で分類されていることが一般的です。 以下に、ISO/IEC 27002:2022による定義を元に若干補足したものを示します。

1. 戦略インテリジェンス(Strategic Intelligence)

定義:

 長期的なサイバーセキュリティ戦略を立てるために有用となる、組織を取り巻く脅威状況(攻撃者の種類・目的、被害の傾向)の変化などの高次の情報

活用例:

 脅威状況の変化に伴うリスクアセスメント結果と長期的なリスク対応計画(人を含めたリソース管理)の策定

2. 戦術インテリジェンス(Tactical Intelligence)

定義:

 日常的なセキュリティ運用において有用となる、侵害指標(IOC:Indicator of Compromise)などの具体的な情報

活用例:

 SIEMなどから得られるIOCにより攻撃の痕跡を監視し、その攻撃を予防・検知し被害を最小に留める

3. 運用インテリジェンス

定義:

 セキュリティ運用の改善において有用となる、攻撃者が攻撃に使用する戦術・技術・手順(TTPs:Tactics, Techniques and Procedures)などのある程度具体的な情報

活用例:

 最新のTTPsを理解することにより、最新の攻撃手法に対応したセキュリティ運用を行う

まとめ

 今回は、脅威インテリジェンスの概要についてまとめました。
 個人的な見解ですが、脅威インテリジェンスは、脆弱性管理、アクセス制御に並ぶ重要な管理策であり、今後はより多くの種類の情報を提供するベンダーが増えると思います。
 情報の入手自体は、専門のベンダーを活用することにより比較的容易に実施可能ですが、その情報と内部状況との関連性、情報の分析や解釈を含めた情報活用の有効性を高めるためのプロセスを確立することが重要と考えます。
 また、ISACなどの情報共有を目的とした団体に加入している場合、自組織で検出した脅威の情報を提供することにより業界全体のインテリジェンス向上が見込めます。

参考資料

 本稿は、以下の書籍、ガイドラインを参考にしています。より詳細な情報が欲しい、正確性を重視したい等については以下を参照して下さい。

脚注