{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
『MITRE Threat-Informed Defenseを活用した新フレームワークM3TID』では、米国の非営利組織The MITRE Corporation傘下のMITRE Enegenuity(以下、MITRE)が発表した「Threat-Informed Defense」の概念や重要性について解説しました。組織を狙う脅威アクターとその攻撃手法(TTP)を理解し、防御策の有効性を検証してギャップを特定することで、脅威情報に基づく効果的な防御策を実装することができます。そして、この取り組みを継続的に行い、セキュリティをアップデートしていくことが望まれます。
攻撃者優位といわれるサイバーセキュリティにおいて、この「Threat-Informed Defenseサイクル」を運用していくことは、防御側が先手を取るうえで重要です。一方で、日本企業の多くはその成熟度に改善の余地があると考えられます。PwCでは、情報システムまたは情報セキュリティに関連する業務に従事する日本企業の200名に対して、Threat-Informed Defenseの成熟度を測るアンケート調査を実施し、国内におけるThreat Intelligence活用の実態を明らかにしました。
Threat-Informed Defenseの理解
Threat-Informed Defenseとは
Threat-Informed DefenseはMITREが定めたフレームワーク「Measuring, Maximizing, and Maturing Threat-Informed Defense 1.0.0」(以下、M3TID)において「敵の手法や技術に対する深い理解を体系的に応用して防御力を向上させる防御方法」と定義されています。具体的には、Cyber Threat Intelligence (攻撃を理解する)、Testing & Evaluation(脅威情報や攻撃への新しいアプローチで継続的にテストする)、Defensive Measures(自発的防御)という3つの側面(ディメンション)で構成されます。M3TIDは、3つのディメンションで合計15のキーコンポーネント別に成熟度を定義し、評価する仕組みです。
各ディメンションの関係性
Threat-Informed Defenseは3つのディメンションが循環するプロセスとして表現されていますが、M3TIDで定義されている各ディメンションのキーコンポーネントごとに関係性を整理すると、Cyber Threat Intelligence (以下、CTI)で生成される脅威インテリジェンスはDefensive Measures(以下、DM)とTesting & Evaluation(以下、T&E)の両方に活用されるものだと分かります。従って、CTIがThreat-Informed Defenseの基盤となっていると言えます。
CTIの中でも「Depth of Threat Data」「Breadth of Threat Information」「Relevance of Threat Data」は、取得している脅威情報の深さと広さ、組織との関連性を示すものであり、Threat-Informed Defense活動の起点になるものです。これらの情報を組織内で活用できるように分析し、脅威インテリジェンスを生成して適切に伝達することが、効果的なDM・T&E活動へつながります。
DMでは、脅威インテリジェンスに基づいてサイバー攻撃の防御・検知・対応を実装することはもちろんのこと、デセプション(ネットワーク内に配置した偽の情報などの罠を用いて攻撃者を欺き、攻撃を遅延・阻止する手法)による新たな脅威情報の取得にも言及されており、それがCTIへのインプットにつながると考えられます。
T&Eでは、脅威インテリジェンスに基づいてセキュリティ対策のテストおよび評価を計画、履行し、その結果に基づいた改善点をDMにフィードバックします。
このように、Threat-Informed Defenseの各ディメンションにおける活動が連携することで、セキュリティ対策を常に最新かつ組織に最適化した状態に維持することにつながることが分かります。各ディメンションが高い成熟度で連携すると、組織は戦略的な意思決定と的確な投資を行い、絶えず進化する脅威に対して防御を強化することができます。
現状の課題(仮説)
前述のとおり、サイバー攻撃の高度化に対処するためには、Threat-Informed Defenseサイクルを運用し、セキュリティ対策をアップデートしていくことが重要です。しかしながら、PwCのコラム「ジオテクノロジー(技術の地政学)とサイバーセキュリティ」において、日本はサイバーインテリジェンスに課題があると示したとおり、Threat-Informed Defenseの基盤であるCTIの成熟度が低いことが考えられます。その結果、DMとT&Eを高度化する要素が不足し、効果的な防御策を実装することができていないのではないかと私たちは考えています。
アンケート調査結果から見る日本企業の傾向
日本企業の平均成熟度
今回、M3TIDの定義に従い、3つのディメンション、合計15のキーコンポーネントについて日本企業の取り組み状況をアンケート調査しました。回答者200名が所属する日本企業の平均成熟度は、6点満点中、CTI:2.0、DM:1.9、T&E:2.1であり、成熟度が高いとは言えない状況であることが分かりました。
また、各ディメンションを構成するキーコンポーネントの成熟度のスコアを円の大きさで表すと、相対的に「Dissemination of Threat Reporting(脅威レポートの配布)」「Type of Testing(テストの種類)」の成熟度が高いことが分かります。一方、「Utilization of Threat Information(脅威情報の活用)」「Deception Operations(デセプション技術の運用)」の成熟度の低さが目立ちます。
このことから、日本企業はThreat-Informed Defenseの成熟度が高くはないものの、獲得した脅威インテリジェンスの関係者への配布とセキュリティテストの内容に力を注いでいることが分かります。ただし、脅威インテリジェンスは脅威情報を十分に分析して生成されておらず、これに基づくセキュリティテストや対策の見直しの効果は低くなっている可能性があります。また、セキュリティ対策の中でも比較的高度なデセプション技術の導入は進んでいません。
日本企業が取り組めていないキーコンポーネント
「全く取り組めていない」と回答し、成熟度のスコアが最も低い「0」となった回答者が多かったキーコンポーネントの上位3つは、「Breadth of Threat Information(脅威情報の広さ)」(61人)、「 Depth of Threat Data(脅威情報の深さ)」(49人)、「Deception Operations(デセプション技術の運用)」(41人)でした。このことから、Threat-Informed Defense活動の起点となる脅威情報を収集する「広さ」と「深さ」という点で、取り組みが不十分な企業が多いことが分かりました。
従って、この結果から推察できることは、CTIの中でも起点にあたる脅威情報の収集に課題があり、その結果インテリジェンスを生成できず、Threat-Informed Defense全体として成熟していない可能性があるということです。
CTIの成熟度上位者の総合成熟度
Threat-Informed Defenseの活動で取得している脅威情報の深さを表す「Depth of Threat Data」の成熟度について、上位60人と回答者全体の平均値を比較しました。その結果「Depth of Threat Data」の上位60人はその他を含む各コンポーネントの成熟度のスコアが平均で約1.3ポイント高いことが分かりました。
また、脅威情報を分析し、組織で活用できるインテリジェンスを生成する「Utilization of Threat Information」の成熟度上位60人について調べてみたところ、各コンポーネントの成熟度は、前述の「Depth of Threat Data」の成熟度上位60人と同程度に高いことが分かりました。
この結果から、情報を取得し、分析するといったCTIの基礎が成熟することで、Threat-Informed Defense全体の成熟度が高まると考えられます。
日本企業への推奨事項
Threat-Informed Defenseの成熟度評価
各組織は、自組織が脅威情報をどの程度活用できているのかを把握するために、M3TIDを活用して成熟度を評価することが必要です。アセスメントシートで現状評価を行い、成熟度のスコアが0のものから優先的に着手することが推奨されます。そのうえで、CTI、DM、T&Eの各ディメンションのつながりや「DM>CTI>T&E」の順で成熟度のスコアが重みづけされているというThreat-Informed Defenseの考え方を踏まえて、成熟度を向上するキーコンポーネントを決めていくことが重要です。
Threat-Informed Defenseの基盤であるCTIの向上
すでに述べたとおり、CTIが成熟している企業は、Threat-Informed Defense全体の成熟度が高いことから、CTIを向上させていくことが組織のセキュリティ施策として効果的であると言えます。分析する脅威情報がなければ、それをテストや評価、防御に活用することもできないことから、収集する脅威情報の深さと広さについて優先的に改善していくことが重要です。その後、取得した情報の分析にあたる「Utilization of Threat Information」の向上に努めていくことが推奨されます。これらCTIの向上がDMやT&Eへの有効なインプットにつながります。
成熟度が特に低いDMの向上
CTIの向上に着手した後は、特に成熟度の低いDMの改善が求められます。その中でも、防御にあたる「Foundational security」、検知にあたる「Data Collection」「Detection Engineering」、対応にあたる「Incident Response」の強化が基礎となります。DMを強化することは、Threat-Informed DefenseにおいてDMの実装が最も重要だというMITREの考え方とも合致します。しかし、防御策を強化するために利用できるリソースは限られているため、優先順位を考慮して対応していく必要があります。アンケート結果から、DMの中でも「Data Collection」「Detection Engineering」といった検知の成熟度が低いため、多くの日本企業はこれらに優先的に取り組むことが効率的だと考えられます。
まとめ
Threat-Informed Defenseの成熟度を測るアンケート調査を実施したところ、日本企業におけるThreat Intelligence活用の実態が以下のとおり明らかになりました。
- アンケート回答者全体の平均成熟度は、6点満点中2点程度であり、成熟度が高いとは言えない
- Threat-Informed Defense活動の起点となる脅威情報収集の取り組みが不十分な企業が多い
- 取得している脅威情報の深さを測る「Depth of Threat Data」のスコア上位者の平均成熟度は、全体平均より約1.3ポイント高い
PwCのコラム「ジオテクノロジー(技術の地政学)とサイバーセキュリティ」でも言及したように、脅威情報の収集・分析・報告といったCTIを向上させることで、DM、T&Eが高度化し、サイバー攻撃に能動的に対応する力を養うことが可能となるでしょう。
アンケート調査概要
| 調査名 | サイバーセキュリティに関する調査 |
| 調査対象 |
|
| 調査時期 | 2024年6月 |
| 調査方法 | インターネットにおけるアンケート調査 |
| 回答者数 | 200名 |
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
