VUCA時代のサイバーセキュリティを見通す、脅威インテリジェンスとゼロトラスト：働き方改革時代の「ゼロトラスト」セキュリティ（22）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、脅威インテリジェンスとゼロトラストについて解説する。

[仲上竜太，ニューリジェンセキュリティ]

　近年、コロナ禍による世界的な被害や、気象変動による災害の頻発、地政学的リスク、食糧危機や通貨変動といった脅威が次々に顕在化し、事業環境に影響を与えています。これまでの経験が通用しない予測不能な時代は「VUCA（ブーカ）」といわれています。

　VUCAとは、Volatility（変動性）、Uncertainty（不確実性）、Complexity（複雑性）、Ambiguity（曖昧性）の頭文字を合わせたもので、近年私たちを取り巻く環境や課題の質の変化を的確に表現しています。

　このVUCAの状態は、昨今のサイバーセキュリティにも当てはまります。これまでのサイバーセキュリティでは、「日々進化するサイバー攻撃の高度化や複雑化への対策が目的」といわれていました。しかし、最近ではこれらに加えてデジタル環境や働き方の環境そのものの変化に対応したセキュリティ対策が求められるようになりました。機密情報の窃取を目的とした高度標的型攻撃に加え、無差別かつ事業に直接目に見える被害を及ぼす脅迫型ランサムウェア攻撃の拡大など対処すべき脅威の形も変化しています。ゼロトラストも、デジタルの環境変化やサイバー脅威の新たな形態に対応したセキュリティの考え方として注目を浴びる形となりました。

　サイバーセキュリティにおいても予測不能リスクが顕在化するVUCA状態の中、未来を見通すカギとなるのがサイバー攻撃対策の情報源「インテリジェンス」です。

　デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回はゼロトラストとサイバー脅威インテリジェンスについて解説します。

セキュリティに活用されるサイバー脅威インテリジェンスとは

　ネットワークセキュリティ製品が利用する悪性IPアドレスやURLリスト、マルウェア対策製品やEDR（Endpoint Detection and Response）製品が利用するマルウェアのハッシュ値やファイルパターンなどのデータは、従来活用されている代表的なサイバー脅威インテリジェンスです。

　サイバー脅威インテリジェンス（Cyber Threat Intelligence）は、企業や組織においてセキュリティの計画や運用に活用できるサイバー攻撃に関するデータや情報、知識の集まりです。

　導入したセキュリティソリューションを有効に機能させるには、サイバー脅威インテリジェンスの活用が不可欠です。サイバー脅威インテリジェンスは、セキュリティの専門家やサイバー攻撃の情報を専門的に集める機関によって提供されます。サイバー攻撃の種類や目的、方法が多岐にわたって刻々と状況が変化する現在、攻撃者の意図や攻撃方法、時期や対象などを事前に把握できれば、企業や組織が未然にとるべき手段の限定が可能です。

　サイバー脅威インテリジェンスは、昨今のサイバー攻撃に対して戦略的かつ費用対効果の高い対策を実施する上で不可欠な情報として考えられるようになりました。

ゼロトラストアーキテクチャにおけるサイバー脅威インテリジェンス

　米国政府機関のNIST（米国立標準技術研究所）が示したゼロトラストアーキテクチャの解説書、SP800-207「Zero Trust Architecture」では、脅威インテリジェンスはポリシー判定のための情報ソースとして示されています。

　ゼロトラストにおけるポリシー判定は、常に最新の情報に基づく判断が求められます。サイバー脅威インテリジェンスのデータフィードをポリシー判定エンジンの入力に活用し、悪用が認められるIPアドレスからのアクセスなどをサイバー攻撃者からのアクセスとして判定が可能になります。

サイバー脅威インテリジェンスの種類

　サイバー脅威インテリジェンスでは、攻撃に使用されたIPアドレスやURL、攻撃ツールのハッシュ値や動作パターンなどのサイバー攻撃の痕跡を示す情報から、サイバー攻撃者の素性に迫る属性情報、サイバー攻撃者が特定の業界や機関などを狙うキャンペーン情報、攻撃に悪用される脆弱（ぜいじゃく）性の情報、企業や組織が漏えいした情報といった、サイバー攻撃に関するあらゆる情報が対象となります。

　内容や提供形態、収集方法によって幾つかのタイプに分類できます。NISTは、SP800-150「サイバー脅威情報の共有」などの文書で、サイバー脅威インテリジェンスを以下のように分類しています。

インジケーターまたはIoC（Indicator of Compromise）

　サイバー攻撃者が過去または現在使用しているサイバー攻撃の痕跡を確認できる情報です。疑わしいサーバや発信元のIPアドレス、ドメインネーム、URL、ファイルのハッシュ値、電子メールの件名などを含みます。セキュリティ装置やセキュリティサービスで、検知対象として活用されます。

戦略、戦術、手法（TTPs：Tactics, Techniques, Procedures）

　サイバー攻撃者のふるまいについて、その目的や対象、攻撃手順、配信について分析した情報です。特定のサイバー攻撃者が使用するマルウェアのシリーズや、攻撃メカニズム、サイバー攻撃の段階ごとに整理された手法「サイバーキルチェーン」など、一連のサイバー攻撃に関する高レベルな情報を含みます。

　サイバー攻撃者のふるまいや攻撃対象の理解によって、より効率的なサイバー攻撃対策が可能になります。

セキュリティアラート

　現在発生しているサイバー攻撃の観測情報やサイバー攻撃に悪用される重篤な脆弱性情報、脆弱性を悪用した侵入手法「エクスプロイト」など、セキュリティ技術者が参照する情報です。

　セキュリティポリシーの設定や、自社が使用しているソフトウェアやミドルウェアが含む脆弱性の調査、対応の判断に活用します。

脅威インテリジェンスレポート

　脅威インテリジェンスレポートは、TTPsやサイバー攻撃者の属性や背景、標的などの情報が集約されており、より上位の意思決定に活用可能です。

　一般的にインジケーターやTTPsはセキュリティ技術者が理解する目的で書かれており、経営者やCISO（最高情報セキュリティ責任者）といった意思決定機関が状況を把握する情報としては詳細過ぎる場合があります。脅威インテリジェンスレポートでは、サイバー攻撃者の背景や被害状況、代表的な対策手順などを参考に、自組織がどのように対応すべきかの意思決定を支援します。

ツールの構成

　攻撃者の侵入を検知するシグネチャ、ファイアウォールのルール、Webサイトアクセスフィルタなど、サイバー攻撃対策を検知して対策するための機器やポリシーの設定情報です。

サイバー脅威インテリジェンスの入手方法

　これらの情報は、その多くがセキュリティリサーチャーによる調査や研究によって提供されています。サイバー脅威インテリジェンスは、以下のような入手方法があります。

• セキュリティベンダーが提供する脅威インテリジェンスフィードとして入手
• 購読型のサイバー脅威インテリジェンスレポートとして入手
• セキュリティ研究者の個人ブログを購読して入手
• Twitterなどソーシャルネットワークを通じて入手
• 公的機関や業界団体による情報共有ネットワークを通じて入手
• サイバー脅威インテリジェンス検索エンジンによる収集
• 公開情報の収集などOSINT（Open Source Intelligence）活動による収集

　サイバー攻撃者に関する情報の多くは、サイバー攻撃被害で得られた情報が使用されています。組織や企業のセキュリティを監視しているセキュリティベンダーは、現在発生しているサイバー攻撃の情報を多く収集しており、これらの情報を整理した上でインテリジェンスとして活用可能な形態に加工して提供しているケースがあります。

　また、直接サイバー攻撃者の情報を得ようとした際に、その多くがコミュニケーションにダークウェブやアンダーグラウンドを使用しているので、一般的な情報検索では見つからないのが現状です。ダークウェブの情報収集を専門とするセキュリティリーチャーやサイバー脅威インテリジェンス事業者が提供する調査レポートや検索エンジンもサービスとして提供されています。

　サイバー攻撃に関する情報収集では、独自の調査活動だと限界があるので、こういったサイバー脅威インテリジェンスサービスの活用が便利です。

レスポンシブなサイバーセキュリティとともにプロアクティブディフェンスへ

　サイバー攻撃対策は侵入者の検知やマルウェアの発見、そして封じ込めといったレスポンシブな防御が中心となっています。

　ゼロトラストでは、常時アイデンティティー（ID）を中心とした属性の確認によってセキュリティを確保する考え方にシフトしようとしています。考え方として、情報システムにサイバー攻撃者の付け入る脆弱性がなければ、セキュリティは保たれているといえます。しかし、情報システムの潜在的な脆弱性への対応は困難とされていたので、ファイアウォールやIPS/IDS（不正侵入検知システム／不正侵入防止システム）などのセキュリティ機器は、情報システムに接続するネットワークのレイヤーで侵入を検知し、サイバー攻撃を抑制する役割を果たしていました。

　テレワークやクラウドサービスの利用によって、企業や組織が保有していた物理的なネットワークの境界があいまい化しており、ネットワークの外部と内部の区別に意味がなくなりつつある状況から、ゼロトラストのコンセプトへの注目が進みました。

　情報システムも、オープンソースソフトウェアの活用と脆弱性診断ツールの進化により、脆弱性への常時対応が可能な状態になりつつあります。

　

　サイバー攻撃は攻撃者が常に優位な状況にある非対称性が大きな課題です。サイバー脅威インテリジェンスは、組織を防御するための情報を互いに提供し、幅広く共有して精度と鮮度を高める活動によって、この非対称性によるギャップを埋めます。サイバー攻撃による被害に対し、限られたリソースで最大限未然に防御する取り組みともいえます。

筆者紹介

仲上竜太

ニューリジェンセキュリティ株式会社

CTO 兼 クラウドセキュリティ事業部 副部長

ラックと野村総合研究所の合弁によるクラウドセキュリティ企業、ニューリジェンセキュリティ株式会社のCTOを務める傍ら、進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行う。

デジタルトラストナビゲーター。家では夜な夜なクラフトビールを片手にメタバースでの生活を過ごしている。