{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
組織の情報セキュリティ担当者は情報資産を守るために、大量かつ広範囲のセキュリティ業務を抱えており、日々高度化する攻撃に対応する必要に迫られています。そのような状況の中では、優先順位を見極めて自組織にとって本当に必要なセキュリティ対応から取り組んでいかなければ、対策が後手に回ってしまいます。
米国の非営利組織The MITRE Corporationの子会社が発表した「Threat-Informed Defense」は、その優先順位を決めるための参考になり、NIST(米国国立標準技術研究所)が策定したサイバーセキュリティフレームワーク(CSF)などと組み合わせることで大きな効果を発揮します。本稿では、Threat-Informed Defenseの概念や重要性について解説します。
Threat-Informed Defenseとは
概要
CVE(共通脆弱性識別子)の運用で知られる米国非営利組織The MITRE Corporationの子会社MITRE Engenuity, LLCのCenter for Threat Informed Defense(以下、Center)は2024年4月にThreat-Informed Defenseのフレームワークと成熟度評価モデルを発表しました*1。
MITRE Engenuityは、脅威インテリジェンスの活用に基づいた防御アプローチに関する研究開発を推進しており、既に多くの成果を同社のウェブサイト上で公開しています。しかし、これまで脅威インテリジェンスを活用したフレームワークとその構成要素の明確な定義は存在しませんでした。
今回発表されたフレームワーク「Measuring, Maximizing, and Maturing Threat-Informed Defense(以下、M3TID)1.0.0」では、Threat-Informed Defenseを「敵の技術や技術に対する深い理解を体系的に応用して防御力を向上させる防御方法」と定義しています。
そして、「Cyber Threat Intelligence(攻撃を理解する)」「Defensive Measure(自発的防御)」「Test & Evaluation(脅威情報や攻撃への新しいアプローチで継続的にテストする)」の3ディメンションで合計15キーコンポーネント別に成熟度を定義し、評価する仕組みとしています。
M3TIDに関連するフレームワーク
セキュリティに関するフレームワークはこれまでにも多数存在し、M3TIDの中でも関連するコンプライアンスフレームワークが以下のとおり言及されています*3。
図表2:フレームワークの概要
| フレームワーク名 | 概要 |
| PCI | クレジットカードデータを扱う事業者のフォーラムPCI Security Standards Councilで策定している各種フレームワーク。クレジット業界のグローバルセキュリティ規準であるPCI DSSが有名 |
| Service Organization Control Type 2 (SOC2) |
全米公認会計士協会(AICPA)策定した、サービス提供企業の信頼性とデータセキュリティに関するフレームワーク。セキュリティ、機密性、プライバシー、可用性、処理の完全性から組織のセキュリティ水準を評価 |
| NIST Risk Management Framework (RMF) |
組織や情報資産のセキュリティリスク(プライバシーリスクを含む)の管理方法を示したフレームワーク。セキュリティ、プライバシー、サイバーサプライチェーンリスク管理をシステム開発ライフサイクルに統合したプロセスを提供 |
| Cybersecurity Maturity Model Certification (CMMC) |
米国国防省が策定しているセキュリティ能力成熟度モデル。成熟度を5つのレベルで定義し、NISTのセキュリティ標準に併せて各成熟度レベルの要件を整理 |
| NIST CSF | NIST策定の汎用的・体系的なサイバーセキュリティフレームワーク。統制、識別、防御、検知、対応、復旧の6つのカテゴリーから組織の成熟度(ティア)を定義 |
出典:M3TIDをもとにPwC作成
これら既存のフレームワークは、標準に基づいた「ベースラインレベル」のセキュリティベストプラクティスを目的としており、M3TIDと競合するものではありません。M3TIDのアプローチと組み合わせることで、防御手段の優先順位付けや意思決定の迅速化が期待できることから、補完関係にあると言えるでしょう。
例えば、NIST CSFの防御(Protect)のサブカテゴリー「PR.PS-02:ソフトウェアは、リスクと整合的に維持、代替、削除されている」は適切なパッチを期間内に適用することが実装例として含まれますが、脅威インテリジェンスを活用して攻撃者の手口や攻撃対象としている業界などをあらかじめ理解しておけば、適用するパッチの優先順位を迅速に決定できます。
アセスメントツール
アセスメントのメリット
実際に、現在の自組織がM3TIDの観点からどの程度成熟しており、将来どの程度の成熟度を目指すべきかを可視化するためには成熟度の判定が必要になります。M3TIDではその成熟度を判定するため、上記15キーコンポーネント別に成熟度スコアをつけて判定するためのアセスメントシートを提供しています*4。
図表3:キーコンポーネントのレベル例
| ディメンション | キーコンポーネント | 概要(日本語参考訳) | レベル(日本語参考訳) |
| Cyber Threat Intelligence | I.3- Relevance of Threat Data | 脅威情報はどこから来ているのか、どの程度タイムリーなのか | レベル1. なし レベル3. 内部レポート レベル4. 最近の詳細なレポート(多くの場合、サブスクリプションが必要) レベル5. カスタマイズされたブリーフィング |
| Defensive Measures | D.5- Deception Operations | 防御目標と新しい脅威インテリジェンスの収集を可能にするためのDeception技術の運用は、どの程度広範囲かつ効果的か | レベル1. なし レベル2. 疑わしい実行可能ファイルのサンドボックス化(例:電子メールの添付ファイルを配信前に処理する) レベル3. 1個、あるいは数個のハニー(ポット、トークン、ドキュメントなど)が展開および監視され、悪意のある使用の検出と早期警告を可能にする レベル4. ハニーネットワークの展開と監視 レベル5. 現実的なハニーネットワークにおける意図的で長期的なDeception活動 |
| Test & Evaluation | T.2- Frequency of Testing | テストは変化する攻撃者や防御されたテクノロジーに対応しているか | レベル1. なし レベル2. 年次または臨時 レベル3. 半年ごと レベル4. 毎月 レベル5. 継続的 |
出典:M3TIDをもとにPwC作成
各キーコンポーネントのスコアを記入すると、全体スコア結果と詳細スコアがレーダーチャートで表示されます。全体スコアは「Defensive Measures>Cyber Threat Intelligence>Test & Evaluation」の順番で重み付けされて計算されています。これは防御策を実装することが最も重要というCenterの考え方によるものです。
まずは自社の現在の成熟度をこのアセスメントシートで判定するのが望ましいと考えられます。ただし、より客観性を担保し、関連するフレームワークでどのように適用すべきかを検討する上では、第三者によるアセスメントシートの評価と、フレームワークとの整合性に関するアドバイスを得るのが望ましいと考えられます。
優先項目の推奨事項
Centerではまずアセスメントシートで現状評価を行い、スコアがゼロのものから優先的に着手し、その後スコアの重み付けに従い「Defensive Measures>Cyber Threat Intelligence>Test & Evaluation」の順でスコアを上げる項目を決めることを推奨しています*6。
まとめ
これまでは脅威インテリジェンスをベースに成熟度を判断するM3TIDのような指標は未定義でした。しかし、新たに発表されたM3TIDを使うことで、攻撃者の技術や技術に対する深い理解を体系的に応用して防御力を向上させる方法へ発展的に移行することができます。
今後、M3TIDを活用する動きがグローバルで拡大することが想定されます。NIST CSFやPSIのようなフレームワークを採用している組織は、そのフレームワークとM3TIDを組合わせることで、セキュリティ対応の優先順位を見極めるという大きな効果を期待できます。
*1 Center for Threat-Informed Defense, ‘Measure, Maximize, and Mature Threat-Informed Defense v1.0.0,’
https://center-for-threat-informed-defense.github.io/m3tid/
*2 Center for Threat-Informed Defense, ‘Three Dimensions of Threat-Informed Defense,’
https://center-for-threat-informed-defense.github.io/m3tid/dimensions/
*3 Center for Threat-Informed Defense, ‘Getting Started with Threat-Informed Defense,’
https://center-for-threat-informed-defense.github.io/m3tid/getting-started/
*4 Center for Threat-Informed Defense, ‘Appendix B - Scoring Spreadsheet,’
https://center-for-threat-informed-defense.github.io/m3tid/spreadsheet/
*5 Center for Threat-Informed Defense, ‘Appendix B - Scoring Spreadsheet,’
https://center-for-threat-informed-defense.github.io/m3tid/spreadsheet/を使用してPwCが作成
*6 Center for Threat-Informed Defense, ‘Maximize & Mature Threat-Informed Defense,’
https://center-for-threat-informed-defense.github.io/m3tid/maxmature/
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
