{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
『MITRE Threat-Informed Defenseを活用した新フレームワークM3TID』(以下、初回インサイト)では、米国の非営利組織The MITRE Corporation傘下のMITRE Engenuity(以下、MITRE)が発表した「Threat-Informed Defense」の概念や重要性について解説しました。続いて、『MITRE Threat-Informed Defenseの成熟度調査から見る日本企業への推奨事項』(以下、前回インサイト)では、日本企業の取り組み状況をアンケート調査した結果と推奨事項を紹介しました。今回は、前回インサイトのアンケート調査に対してデータ分析手法を用いることで、異なる角度から日本企業の取り組み状況について考察し、推奨事項を提案します。
前回インサイトで紹介した日本企業の取り組み状況
MITREが定めたフレームワーク「Measuring, Maximizing, and Maturing Threat-Informed Defense 1.0.0」(以下、M3TID)は、脅威インテリジェンスを活用した防御策についてCyber Threat Intelligence (攻撃を理解する。以下、CTI)、Defensive Measures(自発的防御。以下、DM)、Testing & Evaluation(脅威情報や攻撃への新しいアプローチで継続的にテストする。以下、T&E)の3つのディメンションと合計15のキーコンポーネントで構成された成熟度評価モデルです。前回インサイトでは、このM3TIDの定義に従って実施したアンケート調査の回答者200名の全体的な傾向を紹介し、日本企業が現時点で取り組めていないキーコンポーネントなどを明らかにしました。このアンケート調査の結果に対してクラスター分析というデータ分析手法を適用し、本稿ではさらに深掘りします。
データ分析によって判明したこと
クラスター分析結果
クラスター分析とは、さまざまな特徴を持つデータの集まりから似ているデータ同士を集めてグルーピングする分析手法です。代表的な分析手法の1つであるk-means法を用いて類似したスコアの傾向を持つAからGの7つのグループに分類しました。続いて、各グループのスコアから特徴を観察します。
主成分分析の結果を横軸に第1主成分、縦軸に第2主成分として散布図にプロット
各点の色はクラスター分析による分類結果に基づいている
分類された各グループの傾向
クラスタリングで分類された各グループにおける各ディメンションの平均スコアを測った結果、次のようなことが分かりました。
7つのグループのうち6つのグループの各ディメンションの成熟度は、正三角形に近い形状をしており、その大きさが異なる結果となりました。これは、グループ間において成熟度の違いはあるものの、3つのディメンションをバランス良く向上させていることを示しています。具体的にはグループA、B、Cは全体平均以上、D、E、Gは平均以下という内訳になっています。一方でグループFは、他の6つとは異なりT&Eが全体平均以上でCTIおよびDMが全体平均以下という偏った形状をしていました。
次に、各キーコンポーネントの成熟度では各グループともいびつな形状を示していました。これは、前述の各ディメンションの場合と異なり、15のキーコンポーネントに分解すると各コンポーネント間の成熟度のばらつきが表面化したと言えます。各ディメンションでは正三角形に近く全般的に成熟度が高かったグループAでさえも「T.2 - Frequency of Testing(サイバーセキュリティテストの頻度)」が他のキーコンポーネントと比較して低いスコアを示していました。
また、他のキーコンポーネントと比較して相対的に成熟度が低い傾向を示しているキーコンポーネントは、「I.1 - Depth of Threat Data(脅威情報の深さ)」(グループC、D、E、Fが該当)、「I.4 - Utilization of Threat Information(脅威情報の活用)」(グループA、B、C、D、E、Fが該当)、「D.5 - Deception Operations(デセプション技術の運用)」(グループB、C、D、Eが該当)でした。前述のT&Eのみ高いスコアに偏重しているグループFは、キーコンポーネントでは「T.2 - Frequency of Testing」に極端な偏りが見られました。これは前述のグループAの傾向と対照的であることを示しています。この結果は、前回インサイトで「I.1 - Depth of Threat Data」の成熟度上位60人と下位60人を比較し、「T.2 - Frequency of Testing」が他のキーコンポーネントと比べて上位グループで低く、下位グループでは高くなる傾向を示していたことと一致しています。この傾向は「I.1 - Depth of Threat Data」と「T.2 - Frequency of Testing」が負の相関関係にある可能性を示唆しています。CTI全般の成熟度が低いにもかかわらずサイバーセキュリティテストの頻度が高いという傾向は一見すると矛盾しているかもしれません。グループFの「T.3 - Test Planning(サイバーセキュリティテストの計画立案)」の平均スコアがLevel 2相当「Ad hoc(アドホック<テストは即席で行われ、体系的な計画や脅威行動の優先順位付けがされていない>)」であることから、Threat-Informed Defense活動と連動しない形で、脆弱性スキャニングツールの実行などのサイバーセキュリティテストが頻繁に実施されていることが推測されます。
成熟度が平均以下のグループの課題と推奨事項
成熟度が低い組織は、攻撃者とビジネスの観点で見ると、サプライチェーンの中でサイバー防衛体制が弱い組織として狙われやすく、被害に遭いやすいと考えられます。実際にサイバー攻撃を受けた場合、自社が被害を受けるだけでなく、取引先にもインパクトを及ぼす恐れがあります。こうした状況を受け、近年取引先のセキュリティ管理体制の評価、改善を求める動きもあり、対応できない場合はビジネス機会を逸失することも想定されます。
具体的に注目するべきキーコンポーネントと評価項目は、「D.1 - Foundational Security(予防的セキュリティ対策への脅威情報の活用)」のLevel 2(アドホックなパッチ適用、限定的な資産目録、基本的なセキュリティ対策を実施する程度)、「T.1 - Type of Testing(サイバーセキュリティテストの種類)」のLevel 2(セキュリティ管理/リスク評価<受け身、コンプライアンス重視>)があり、これらの関連業界のガイドラインや取引先との契約に必要な情報セキュリティ対策要件に関連する評価項目を満たしていない場合は、ビジネス上の機会損失を招くことが懸念されます。しかしながら、現実的には予算・人材の不足といった直ちに解消することが難しい制約に直面していると推測できます。当面の目標として、関連業界の平均水準レベルまで成熟度を向上させることを目指し、3つのディメンションのバランスを見つつ、特に成熟度が低いものを優先し、CTIとCTI以外のいずれも低い場合CTIから取り組むことを推奨します。
「I.1 - Depth of Threat Data」の成熟度の低さの原因と推奨事項
前述のとおり、一部のグループにおいて、他のキーコンポーネントと比べて明らかに「I.1 - Depth of Threat Data」のスコアが低い傾向が見られました。また、「I-1 - Depth of Threat Data」の評価項目のうち、Level 1(取得していない)の回答者が全体の24.5%でした。その原因として、セキュリティ製品の導入に留まっている、脅威インテリジェンスに関する施策・体制が未整備、あるいは脅威インテリジェンスに関する施策・体制は存在するものの脅威動向調査といった初期段階に留まっており実際のセキュリティ運用の一部として組み込まれてない、といった事情が考えられます。
図表4:「I.1 - Depth of Threat Data」の評価項目
| 成熟度レベル | 評価内容 |
Level 1 |
None(取得していない) |
Level 2 |
Ephemeral IOCs: hashes, IPs, domains: data sources an adversary can change easily(一時的なIOC<Indicator of Compromise:侵害の痕跡>:ハッシュ値、IPアドレス、ドメイン名など、攻撃者が簡単に変更できるデータソース) |
Level 3 |
Tools / Software used by adversaries: tools or software which can be swapped or modified by an adversary to evade detection(攻撃者が使用するツール/ソフトウェア:攻撃者が検出を回避するために交換したり変更したりできるツールやソフトウェア) |
Level 4 |
Techniques and Tactics used by adversaries: the techniques and behaviors that are harder to change for an adversary(攻撃者が使用するテクニックと戦術:攻撃者が変更しにくいテクニックと行動) |
Level 5 |
Low-variance adversary behaviors and associated observables: specific actions most implementations of a technique must use so it is very difficult for an adversary to change or avoid(ばらつきの少ない攻撃者の行動と関連する挙動:攻撃者が変更または回避するのが非常に困難な特定の行動) |
前回インサイトで述べたとおり、「I.1 - Depth of Threat Data(脅威情報の深さ)」は、「I.2 - Breadth of Threat Information(脅威情報の幅)」および「I.3 - Relevance of Threat Data(脅威情報の関連性)」と並んでThreat-Informed Defense活動の起点になるコンポーネントの1つであるため、この成熟度を向上させることが重要です。自組織を標的としたサイバー攻撃に対して効果的な対策を講じるにはLevel 2からLevel 4相当の脅威データを取得している体制が望ましいと考えらえます。特によりLevelの高い情報を活用することで、サイバー攻撃に用いられる戦術、技術、手法の変化の影響を受けにくい普遍的な対策を検討することができます。これらの脅威データがThreat-Informed Defense活動を支える基盤となり、DMおよびT&Eの改善、ひいては全体的な成熟度を向上させる起点となります。
まとめ
前回インサイトで紹介したThreat-Informed Defenseの成熟度を測るアンケート調査のデータに対してクラスター分析を行うことで、類似した傾向を持つグループに分類でき、各グループの特徴が明らかになりました。また、低スコア群、「I.1 - Depth of Threat Data」の成熟度が低いグループの背景を分析し、どういう行動をとるべきかを考察しました。
Threat-Informed Defenseは、攻撃者側が優位の状況下において、組織が悪意のある攻撃を予測し、リスクを軽減するための積極的な措置を講じることができる戦略的なアプローチです。最初のステップとして、M3TIDを活用して自組織の現状の成熟度を認識し、本来あるべき姿に対してどのような取り組みが求められるのかを検討し、着実に実行することが重要だと考えます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
