MITRE Threat-Informed Defenseの成熟度調査から見る日本企業への推奨事項

  • 2024-08-27

はじめに

MITRE Threat-Informed Defenseを活用した新フレームワークM3TID』では、米国の非営利組織The MITRE Corporation傘下のMITRE Enegenuity(以下、MITRE)が発表した「Threat-Informed Defense」の概念や重要性について解説しました。組織を狙う脅威アクターとその攻撃手法(TTP)を理解し、防御策の有効性を検証してギャップを特定することで、脅威情報に基づく効果的な防御策を実装することができます。そして、この取り組みを継続的に行い、セキュリティをアップデートしていくことが望まれます。

攻撃者優位といわれるサイバーセキュリティにおいて、この「Threat-Informed Defenseサイクル」を運用していくことは、防御側が先手を取るうえで重要です。一方で、日本企業の多くはその成熟度に改善の余地があると考えられます。PwCでは、情報システムまたは情報セキュリティに関連する業務に従事する日本企業の200名に対して、Threat-Informed Defenseの成熟度を測るアンケート調査を実施し、国内におけるThreat Intelligence活用の実態を明らかにしました。

図表1 Threat-Informed Defenseサイクル

日本企業への推奨事項

Threat-Informed Defenseの成熟度評価

各組織は、自組織が脅威情報をどの程度活用できているのかを把握するために、M3TIDを活用して成熟度を評価することが必要です。アセスメントシートで現状評価を行い、成熟度のスコアが0のものから優先的に着手することが推奨されます。そのうえで、CTI、DM、T&Eの各ディメンションのつながりや「DM>CTI>T&E」の順で成熟度のスコアが重みづけされているというThreat-Informed Defenseの考え方を踏まえて、成熟度を向上するキーコンポーネントを決めていくことが重要です。

Threat-Informed Defenseの基盤であるCTIの向上

すでに述べたとおり、CTIが成熟している企業は、Threat-Informed Defense全体の成熟度が高いことから、CTIを向上させていくことが組織のセキュリティ施策として効果的であると言えます。分析する脅威情報がなければ、それをテストや評価、防御に活用することもできないことから、収集する脅威情報の深さと広さについて優先的に改善していくことが重要です。その後、取得した情報の分析にあたる「Utilization of Threat Information」の向上に努めていくことが推奨されます。これらCTIの向上がDMやT&Eへの有効なインプットにつながります。

成熟度が特に低いDMの向上

CTIの向上に着手した後は、特に成熟度の低いDMの改善が求められます。その中でも、防御にあたる「Foundational security」、検知にあたる「Data Collection」「Detection Engineering」、対応にあたる「Incident Response」の強化が基礎となります。DMを強化することは、Threat-Informed DefenseにおいてDMの実装が最も重要だというMITREの考え方とも合致します。しかし、防御策を強化するために利用できるリソースは限られているため、優先順位を考慮して対応していく必要があります。アンケート結果から、DMの中でも「Data Collection」「Detection Engineering」といった検知の成熟度が低いため、多くの日本企業はこれらに優先的に取り組むことが効率的だと考えられます。

まとめ

Threat-Informed Defenseの成熟度を測るアンケート調査を実施したところ、日本企業におけるThreat Intelligence活用の実態が以下のとおり明らかになりました。

  • アンケート回答者全体の平均成熟度は、6点満点中2点程度であり、成熟度が高いとは言えない
  • Threat-Informed Defense活動の起点となる脅威情報収集の取り組みが不十分な企業が多い
  • 取得している脅威情報の深さを測る「Depth of Threat Data」のスコア上位者の平均成熟度は、全体平均より約1.3ポイント高い

PwCのコラム「ジオテクノロジー(技術の地政学)とサイバーセキュリティ」でも言及したように、脅威情報の収集・分析・報告といったCTIを向上させることで、DM、T&Eが高度化し、サイバー攻撃に能動的に対応する力を養うことが可能となるでしょう。

アンケート調査概要

調査名 サイバーセキュリティに関する調査
調査対象
  • 業務:情報システムまたは情報セキュリティ関連業務従事者
  • 役職:課長クラス以上
  • 組織規模:売上高500億円以上
  • 業種:航空宇宙・国防、農業、消費者製品、小売業、コンサルタント/専門サービス、教育/非営利団体、エネルギー/公益事業/鉱業、エンターテイメント、メディア、エンジニアリング/建設、金融サービス、林業/製紙/パッケージング、政府機関、医療産業、ホスピタリティ/旅行、レジャー、工業生産、技術、電気通信、運輸、物流、その他
調査時期 2024年6月
調査方法 インターネットにおけるアンケート調査
回答者数 200名

執筆者

村上 純一

パートナー, PwCコンサルティング合同会社

Email

山崎 潤一

マネージャー, PwCコンサルティング合同会社

Email

遠藤 淳人

マネージャー, PwCコンサルティング合同会社

Email

天谷 大輔

シニアアソシエイト, PwCコンサルティング合同会社

Email

サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応

44 results
Loading...

中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート

2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。

Loading...

インサイト/ニュース

40 results
Loading...

2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―

デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。

Loading...

本ページに関するお問い合わせ