サイバーセキュリティと機密データの保護に関する堅牢な業界基準を確立・維持するにあたって、いまやNISTサイバーセキュリティフレームワーク(NSF)が幅広く活用されるようになっています。NSFは、組織におけるサイバーセキュリティリスクの理解・管理・軽減を支援する5つの機能(識別・防御・検知・対応・復旧)について、概要を示しています。
今回のブログではそれら5つの機能について詳述し、サイバー脅威インテリジェンス(CTI)をNISTフレームワークと併せて活用することでどのように規制を順守できるのか、そして規制が求める以上の成果を出すことができるのかを解説します。
NISTの要件を満たすうえで、なぜサイバー脅威インテリジェンスが重要となるのでしょうか?
いまやサイバー脅威インテリジェンス(CTI)は、組織がレジリエンシー(障害に対応し、回復する能力)を高めるうえで重要な要素とと見なされるようになっています。組織が脅威に先回りして、能動的なサイバー防御を確立するための業務はもとより、リスク管理や対応計画、インシデント対応能力、リスク情勢に対する従業員の認識向上などにも活用されています。
サイバー脅威インテリジェンスは、規制の順守を保証するという点においても強力なツールとなります。脅威インテリジェンスプラットフォームは様々なソースからデータを収集し、組織が迅速かつ効率的にインシデントに対応できるようサポートします。さらに、有事を見据えた準備体制の構築を包括的に支援し、組織がインシデント対応戦略を速やかに策定したり、状況に応じて修正できるようにします。またサイバー脅威インテリジェンスは、監査をスムーズに進め、法規制で定められた基準の順守を徹底する上で重要なポイントとなる(インシデント対応に向けた)準備体制の維持にも役立ちます。
ここからはNISTフレームワークに定められた個々の役割を取りあげ、サイバー脅威インテリジェンスを活用することでどのような利点があるのかを説明します。
識別(ID)
システムや人、資産、データ、機能を脅かすサイバーセキュリティリスクとは?
NISTフレームワークの第1段階では、まず自組織の環境内にある全ての物理的資産とソフトウェア資産を特定します。具体的な例としては、資産管理プログラムの確立や、各資産の使用方法を管理するサイバーセキュリティポリシーの策定などが挙げられます。それらのプログラムやポリシーで可視化した資産の情報は、組織全体のリスク管理戦略を構築するために活用することができます。
「目に見えないものは保護することができない」というのは、単純明快な事実です。またその一方で規制を順守していなかった場合、「知らなかった」という言い訳は通用しません。全ての組織は自らのインフラ全体を可視化し、そこに何が存在するのかを把握しておく責任があるのです。
脅威識別能力を強化する上でのサイバー脅威インテリジェンスの役割
現代のサイバー脅威インテリジェンス(CTI)プラットフォームは、様々なビジネスリスクの可視化を支援する高度なツールとして機能します。組織はインテリジェントなサイバー脅威インテリジェンスを活用することで、実際にビジネスや業務に被害が生じる前に、潜在的な脅威の存在を特定することが可能となります。組織が脅威を識別するにあたっては、以下をはじめとするサイバー脅威インテリジェンスの機能を活用することができます。
- アタックサーフェスの発見: サイバー脅威インテリジェンスは、潜在的な攻撃者の視点で組織のアタックサーフェスを詳細にマッピングすると同時に、適切なセキュリティ保護や管理が行われていないエントリーポイントや脆弱性などを特定します。これにより、攻撃者の目に映る組織の状態を明確に理解することができます。
- 脆弱性インテリジェンス:サイバー脅威インテリジェンスは、サーフェスウェブやディープウェブ、ダークウェブ、非公開のサイトやチャンネルをはじめ、様々なソースに出現する新たな脅威や脆弱性を常に監視・分析しています。このインテリジェンスは、脆弱性が実際に悪用される前にその存在を特定する上で非常に重要となります。
- サードパーティのリスク監視:サイバー脅威インテリジェンスを活用して継続的に情報を収集し、サードパーティとなるベンダーやサプライチェーンのセキュリティ体制を評価することができます。またこの情報をもとに、自組織に被害をもたしうる間接的な脅威を特定することができます。
- 標的型脅威インテリジェンス:サイバー脅威インテリジェンスは、特定の組織や業界を標的とする脅威アクターやキャンペーンについて、詳細な知見を提供します。具体例としては、脅威アクターのTTP(戦術・技術・手順)を分析し、標的型脅威による攻撃を予測したり、リスクを低減できるようサポートすることなどが挙げられます。
- 地政学的インテリジェンス:サイバー脅威インテリジェンスは、世界的レベルまたは地域的レベルで発生した、サイバー脅威情勢に影響を及ぼしうる地政学的イベントの背景情報を提供します。組織はこの情報を活用して、各地域独自の脅威の動向を予測し、準備体制を整えることができます。
防御(PR)
サイバーセキュリティインシデントの影響をどの程度まで抑制(または制限)し、重要なサービスの保護対策を導入することができるのか?
NISTフレームワークの第2段階では、第1の段階で特定した資産を保護するために、自組織のインフラのアクセス管理と復旧力に重点を置きます。攻撃者に防御を突破される可能性を下げ、また攻撃が発生した場合でもシステムや資産を保護し、オンライン状態を維持できるよう自組織の重要な資産を管理する必要があります。セキュリティチームの多くはこの段階でデータのプライバシーや整合性、可用性を保護するために、データセキュリティ保護対策を導入しています。
CCPA(カリフォルニア州消費者プライバシー法)からGDPRにいたるまで、個人識別情報(PII)の保護を義務付ける規制の数はますます増加しており、規制当局からの圧力は高まる一方となっています。
防御対策の強化におけるサイバー脅威インテリジェンスの役割
サイバー脅威インテリジェンス(CTI)は、サイバー犯罪エコシステムに存在する潜在的な脅威や、進化する戦術を予測して知見を提供することによって防御策の有効性を向上します。具体的な機能や役割としては以下が挙げられます。
- 能動的な脆弱性管理:サイバー脅威インテリジェンスは、アンダーグラウンドのフォーラムで交わされる議論やダークウェブのマーケットプレイスで行われる取引を監視し、近い将来に悪用される可能性がある脆弱性を特定します。組織はこのインテリジェンスを活用することで、脆弱性が悪用される前に修正したり、緩和策を実行して、常に攻撃者の一歩先を行くことができます。
- サイバー犯罪サービスの監視:サイバー犯罪をサービスとして提供するプラットフォームが増加したことにより、これまで以上に多くのアクターが高度なサイバー攻撃を実行できるようになりました。サイバー脅威インテリジェンスはそれらのプラットフォームを監視し、組織を狙う攻撃で使用されうる新たなサービスやツールについて、早期に警告を発します。セキュリティチームはこのインテリジェンスを活用し、新たな脅威に対して具体的な防御策を策定することができます。
- 高度な脅威の検出:サイバー脅威インテリジェンスは、攻撃者が新たに採用した攻撃ベクトルやTTP(戦術・技術・手順)についてのインテリジェンスを統合することにより、脅威の検出能力を強化します。また組織においては、サイバー脅威インテリジェンスプラットフォームが統合した情報を活用し、侵入検知システム(IDS)やセキュリティ情報イベント管理(SIEM)システムなどの能動的なツールを現在の脅威情勢に合わせて細かく調整することができます。
- 戦略的なセキュリティ方針の策定:組織はサイバー脅威インテリジェンスを活用することで、より効果的かつ十分な情報に基づいたセキュリティポリシーや手順を策定することができます。サイバー脅威インテリジェンスを活用して戦略的なポリシーを策定することにより、包括的でありながら、組織に被害をもたらす可能性が最も高い脅威に的を絞ったセキュリティ対策を実現することができます。
検出(DE)
サイバー脅威を素早く特定することはできるのか?
攻撃者に侵入されてしまった場合、ビジネスに対する影響と相関する重要な指標として、「攻撃者の潜伏時間」が挙げられます。攻撃者の潜伏時間は、ビジネスがどれほど深刻な影響を受けるかに直接関係するため、脅威を発見するタイミングは早ければ早いほど良いと言えます。NISTフレームワークの第3段階では、継続的な監視システムを導入し、異常な事態やセキュリティイベントが発生次第すみやかに検知してその影響をリアルタイムで評価し、防御策の有効性を検証することが重要となります。
コンプライアンス順守を指導する当局は、全ての攻撃を発生前に阻止できるわけではないことを認識しています。その代わり、最悪の事態が発生した時における組織の対応に目を光らせています。この点を踏まえると、組織としてはかなり初期の段階で段階でいかに攻撃を特定し、適切な対応を取るために情報を入手するかを検討する必要があるということになります。
検知能力の強化におけるサイバー脅威インテリジェンスの役割
サイバー脅威インテリジェンスは、特に組織に重大な被害が生じる前に、侵害を正確かつ速やかに検知する能力を格段に強化します。サイバー脅威インテリジェンスが検知能力の強化に役立つ具体例としては、以下が挙げられます。
- データ漏えいの早期特定:窃取された個人識別情報(PII)や知的財産(IP)などのデータは、ダークウェブをはじめ様々なチャンネルで頻繁に売買されています。サイバー脅威インテリジェンスはそれらのチャンネルを監視しており、組織のデータが売り出されたり、公開されたことを早期に検知します。組織はこのインテリジェンスを活用することによって、影響を緩和するための封じ込め対策に速やかに着手し、侵害管理プロセスに移ることができます。
- 資産に対する不正アクセスの検出:サイバー脅威インテリジェンスは、攻撃者が組織の資産に不正アクセスするために使用する情報窃取マルウェアやその他のツールの販売・利用状況を監視しています。この監視活動で入手された情報が、重要な資産やシステムに関わる侵害の検知を支援してスピーディな対応を実現し、被害の拡大を阻止します。
- 標的型キャンペーンの検知:サイバー脅威インテリジェンスは、組織の幹部を標的としたキャンペーン(ビジネスメール詐欺や、トップレベルの経営陣を狙ったフィッシング攻撃など)についての知見を提供します。それらのキャンペーンを早期に検知することで、甚大な経済的損失を防ぐと同時に、幹部職員のコミュニケーションを保護することが可能となります。
- 規制の順守と侵害の通知:GDPRなどの厳格な規制は、特定の種類のデータ侵害が発生した場合は72時間以内に報告するよう義務付けています。この要件を満たすにはデータ侵害を速やかに特定する必要がありますが、ここでもサイバー脅威インテリジェンスが重要な役割を果たします。組織は、サイバー脅威インテリジェンスを活用することでデータ侵害を早期に検知できるだけでなく、当局にデータ侵害を報告する際に必要な情報を、期限内に効率よく収集することができます。
対応(RS)
セキュリティの脅威がもたらす影響を最小限に抑える方法は?
サイバー攻撃を受けた場合は、十分な情報に基づいて迅速に対応することが重要となります。まずそのためには、インシデント管理や分析、コミュニケーション、報告、影響の緩和について堅牢なプロセスを確立しておく必要があります。インシデントが発生する前に取ることのできる最善の策としては、堅牢なインシデント対応計画を策定する時間を取り、実際に攻撃が発生した際に活用できるプレイブックとガイドラインを整備することが挙げられます。NISTフレームワークの「対応」段階では、インシデントが検知された時に取るべき行動の策定・導入に焦点を当てています。これには、「策定した対応計画をどこで誰が実行するのか」、「インシデントの最中やその後のコミュニケーションをどのように管理するのか」をはじめ、組織を脅かすリスクを軽減し、サイバー攻撃の影響を封じ込めるための全活動が含まれます。またセキュリティチームにおいては、攻撃後にインシデント対応の効果を分析することによって防御を強化し、計画と実態のギャップを埋めるとともに、報告義務やコンプライアンスで定められた要件を満たす一助として活用することができます。
侵害が発生するにいたった状況を徹底的に理解することこそが、その影響を最小限に抑えることにつながります。サイバー脅威インテリジェンスは、組織が速やかに攻撃の性質を特定し、かつどこでどのように発生したのかを突き止めるプロセスを支援します。また、組織から窃取されたデータベースが外部に公開される前に発見して削除したり、不正に収集された資格情報を特定してなりすましを防ぐといった付加価値も提供します。
インシデント対応・復旧能力の強化におけるサイバー脅威インテリジェンスの役割
サイバー脅威インテリジェンスがもたらすリアルタイムな情報は、組織のセキュリティインシデント対応や復旧作業のプロセスを変革します。つまり、NISTフレームワークの「対応」段階において、サイバー脅威インテリジェンスは不可欠であるということです。
- 復旧計画:最新のサイバー脅威インテリジェンスプラットフォームは、特定した脅威に対処するステップを概説した体系的な復旧計画を提供します。組織はその計画を活用して、脅威の重大度や影響について理解を深めることができ、効果的な対応を速やかにとることが可能となります。
- 情報に基づいた意思決定:サイバー脅威インテリジェンスは攻撃の性質について詳細な情報を提供し、インシデント対応チームやセキュリティ専門家を支援します。セキュリティチームは、サイバー脅威インテリジェンスのインテリジェンスを活用することで情報に基づいた意思決定を行い、修復にかかる時間を削減し、攻撃者が使用した戦術や技術、手順に関する情報を基に対応の優先順位付けを行うことができます。
- 脅威アクターのプロファイリング:サイバー脅威インテリジェンスは、脅威アクターを分析・プロファイリングして彼らの手口に関する知見を提供します。組織はこの知見を活用することで将来のリスクを予測したり、(予測した)結果に合わせてセキュリティ対策を調整することができます。組織は攻撃者の行動を理解することで、類似の攻撃が将来発生した場合に備えてセキュリティ体制を強化し、進化する脅威情勢から自組織を守るために防御メカニズムを戦略的に調整することが可能となります。
復旧(RC)
攻撃で障害が発生したサービスを復旧し、さらにその後もレジリエンシーを維持することはできるのか?
攻撃の最中は常に時間との闘いになります。そして、サイバーセキュリティのレジリエンシーにおいて、復旧計画は非常に重要な要素となります。
NISTフレームワークの「復旧」段階を効果的に組織に導入するということは、攻撃が発生した際、被害が生じる前に速やかに復旧するための具体的な復旧計画と手順、そしてこれまでに得た教訓に基づいてセキュリティプロセスを実行するための戦略を策定することを意味します。
驚くべきことに、繰り返し攻撃を受けることは珍しい事態ではありません。実際には攻撃事例の大半を占めており、侵害された企業のうち67%は、12カ月以内に再び侵害されています。NISTをはじめとするガイドラインに準拠して自組織のセキュリティ体制を向上することは、被害を1度に抑える方法の1つといえるでしょう。
復旧プロセスの強化におけるサイバー脅威インテリジェンスの役割
サイバー脅威インテリジェンスは、効果的な復旧作業を支援する知見を提供し、復旧プロセスはもちろんのこと、将来を見据えた組織的なプロセスを策定・実行するうえで重要な役割を果たします。
- 根本的原因の分析:サイバー脅威インテリジェンスは、攻撃者が使用している手法やツールについて詳細情報を提供し、侵害の根本的な原因特定を支援します。根本原因を理解することは、効果的な復旧作業において不可欠であると同時に、同様のインシデントの再発防止にも役立ちます。
- 将来の攻撃阻止:インシデント発生後にサイバー脅威インテリジェンスが収集する情報は、将来悪用されうる攻撃ベクトルを予測したり、攻撃後に残存している脅威を特定する上で不可欠となります。また、サイバー脅威インテリジェンスを活用して新たなIoC(侵害の指標)をセキュリティシステムに連携することで、類似の脅威や進化した脅威を検知する能力を向上し、システムを保護することができます。
- 継続的な監視と検証:組織が最初の侵害に対処した後は、サイバー脅威インテリジェンスツールが組織のシステムを継続的に監視し、侵害が完全に封じ込められたことを確認します。この監視活動を通じて、残存リスクが存在せず、(将来発生する可能性のあった)データリークを未然に阻止できたことを確認するとともに、インシデント後の資産の完全性を維持することが可能となります。
NISTがもたらす可能性:NISTフレームワークの導入において鍵となるサイバー脅威インテリジェンス
NISTサイバーセキュリティフレームワークを通じてベストプラクティスを導入することは、重要インフラを攻撃から保護し、機密情報を守り、有事においてビジネスが中断するリスクを低減するための標準的な手法です。
組織においては、サイバー脅威インテリジェンスを活用することによって、NISTフレームワークの全段階をカバーすることが可能となります。また、事前にリスクを発見して完全に可視化し、詳細なインテリジェンスを入手して組織の重要なデータやサービスに深刻な影響が及ぶ事態を未然に防ぎ、組織が攻撃を受けた場合でも可及的速やかに復旧作業を行い、事業継続に対する影響を最小限に抑えることができます。
サイバー脅威インテリジェンス(CTI)を適切に導入した場合、NISTに準拠した規制要件を戦略的に満たす強力なツールとして活用することができます。KELAの無料トライアルに登録し、その仕組みを体験してください。