「インテリジェンス連動型セキュリティメトリクス」が企業にもたらす価値-セキュリティ態勢の進化と透明性の確保（慶應義塾大学）

「インテリジェンス連動型セキュリティメトリクス」とは何か

上村：
最初にアカデミアの視点から、昨今のセキュリティの置かれている状況や課題をどのように捉えていらっしゃるのか教えてください。

砂原：
企業におけるセキュリティ課題は複雑であり、解決には現場でのノウハウが使われてきました。一方、アカデミアの視点では課題と解決策を整理・体系化し、専門家でない人にも分かりやすい形にする必要があると考えています。

上村：
佐藤先生はいかがですか。

佐藤：
セキュリティを担う人たちの業務の内容は多角化しています。また、それぞれの専門性も多様化しています。アカデミアの立場としては、専門性と多様性の両方を担保し続けなければいけませんが、これもなかなか複雑であると感じています。

上村：
今回、「サイバーインテリジェンス連動型セキュリティメトリクス管理」に関する共同研究を進めるにあたり、私たちからはいくつかのテーマを提示しました。その中で「インテリジェンス」と「セキュリティメトリクス」を個別のテーマとして提示したところ、砂原先生から「この2つをマージして1つのテーマとして取り組んでみてはどうか」という提案をいただきました。砂原先生にお伺いしたいのですが、どのようなことを期待されてのご提案だったのでしょうか。

砂原：
インテリジェンスはセキュリティの最前線です。一方メトリクスは、情報を整理して、あるモデルの中で形を作っていくものです。この2つがつながらないと、最前線でサイバー脅威と対峙しているセキュリティのプロたちはずっと戦い続けなければいけないし、メトリクスの担当者は後方でその様子を観察して考えることしかできません。ですから、インテリジェンスがメトリクスにすぐにつながり、かつ、みんなに分かりやすい形で提供することが必要だと考えました。

上村：
ここで「インテリジェンス連動型セキュリティメトリクス」のコンセプトについて説明させてください。下図の左側にあるセキュリティメトリクスは、組織目標の達成を促すような定量的な指標です。一方、右側のサイバーインテリジェンスは、企業内の活動に有意義な「密度の高いインフォメーション」を指します。

従来は分断されていた両者を連動させることで、企業にとって有益な仕組みになり得るのではないかと考えています。では、サイバーインテリジェンスについて、村上さんから詳細の説明をお願いします。

村上：
サイバーインテリジェンスという考え方は、PwCが提唱している概念です。さまざまな情報、例えば地政学リスクやマクロ経済に関する動向、ダークウェブで入手できる非公開情報といったあらゆる情報を総合的に分析し、企業が自社のレジリエンスを高めるための知見を獲得し、活用する一連の活動です。

今回の研究は、このサイバーインテリジェンスをどのようにメトリクスに関連づけるかというものです。インテリジェンスとメトリクスがつながった世界では、外部の情報に応じて、組織内部のセキュリティの考え方や目標の見直しが行われ、臨機応変に態勢を変えられるようになると考えています。

なお、PwCはインテリジェンスを生み出して提供する立場であり、重要な点が2つあると捉えています。

1つはインテリジェンスを活用する組織の内部の現状や課題、その目的を把握することです。インテリジェンスを生み出す部分は、収集した情報を分析して提供します。この分析は組織の活用に根ざしたものでなければなりません。

2つ目は情報を提供し、フィードバックを受けるというサイクルを回すことです。1回の提供では“誤差”が発生するという難しさがありますが、フィードバックのサイクルを回していくことで精度を向上させられます。こうした継続的な取り組みは重要であると考えています。

「すべての情報を机上に並べて議論する」ことの大切さ

上村：
「インテリジェンス連動型セキュリティメトリクス」のコンセプトでは、アジリティを重要視しています。企業のデジタルトランスフォーメーション（DX）に伴ってアタックサーフェスは増加し、攻撃手法も目まぐるしく変化する状況では、必然的にセキュリティマネジメントにもアジリティが求められると考えたからです。

理想としては、一時的な脅威や特定の脅威に対しても、適宜、適切な態勢変化を促していくことです。リスクに対してピンポイントの対応が可能になれば、効率的かつ効果的なマネジメントが実現すると考えています。

「インテリジェンス連動型セキュリティメトリクス」のアーキテクチャでは、セキュリティメトリクスをエンジンとして、全体を自律的にマネジメントします。その仕組みについて説明させてください。

まずは外部からのサイバーインテリジェンスを獲得し、サイバーセキュリティメトリクスに入れます。そして定量化された企業固有のリスクに関する情報に基づき、セキュリティ戦略や方針、日々の運用方針などをアップデートし、各部門で実施されているセキュリティ業務にインプットします。そこで得られた日々の活動の記録がマトリクス側に吸い上げられ、企業内の態勢が可視化されていくという仕組みです。

砂原先生に伺いたいのですが、セキュリティに関するデータ取得活用の試みについてはどのようにお考えでしょうか。

砂原：
例えば、標的型攻撃対策としてスパムフィルターを導入していたのに、ある日突然ランサムウェア攻撃被害にあってしまったという企業がありました。これは、もともと導入していたソフトウェアにセキュリティホールがあるという情報は掴んでいたのに、修正パッチ適用を後回しにしていたために招いてしまった事態です。

以前センサーネットワークの研究をやっていたときに議論されていたのは、「何のためにどのデータが必要なのか」です。私はこの発想は逆だと考えていました。「あらゆるデータを並べて、それらを分析して知見を得る」という方法がデータ活用のあり方だと考えます。

同様にセキュリティの世界も「どのデータ／情報があるのか」をすべてテーブルの上に載せて可視化し、さまざまな仮説を立てると対策の準備ができると考えています。特にゲームチェンジャーの出現によってこれまでとは違う対策を求められる際に、メトリクスに使用可能なたくさんのデータがあれば、なぜそのような攻撃被害に遭ってしまったのか、どこに対策の穴があったのかが分かりますよね。

ですから、まずは情報をすべて机の上に並べて、どう分析するかを議論できる環境を作ることが重要なのです。それが今回の研究の中で1番面白いところであると考えています。