サイバー脅威インテリジェンス

CERT-UKによると、サイバー脅威インテリジェンス(サイバーきょういインテリジェンス、CTI: Cyber Threat Intelligence)は「掴みどころのない」[1]概念である。サイバーセキュリティは、ITセキュリティ専門家を採用し、組織にとって不可欠なインフラまたは知的財産を保護するための技術的手段を導入することで構成される。一方、CTIはオープンソースインテリジェンス (OSINT)ソーシャルメディアインテリジェンス英語版 (SOCMINT)、ヒューマンインテリジェンス (HUMINT)、そしてテクニカルインテリジェンス (技術情報) または深層Webダークウェブからのインテリジェンス (情報) を用いた情報収集を基礎に置く。CTIの主要ミッションは、以下の3つの領域における動向と技術開発の調査と分析である。

調査や分析に基づいて蓄積されたデータにより、国家は予防策を事前に考え出すことが可能になる。サイバー脅威の深刻な影響を考慮すると、CTIは国際安全保障を維持するための効率的なソリューションとして発展しているといえる。

種類

編集

英国国家サイバーセキュリティセンター (NCSC) は脅威インテリジェンスを4種類に分類している[2]

  • 戦術的 (タクティカル): 攻撃者の手法、ツール、戦略——潜入を試みる潜在的危険アクターに対抗するために十分なリソースに依拠し、何らかの措置を必要とする
  • 技術的: 特定のマルウェアのインジケーター
  • 運用上: 特定の攻撃の詳細、組織が未来のサイバー脅威を判定する能力を評価
  • 戦略的 (ストラテジック): 変動するリスク (戦略の変更) に関する高度な情報——脅威の批判的評価を行うよう完全に決定するのに上層部が必要[誰によって?]

金融業界を見ると、イングランド銀行のCBEST[3]フレームワークではペネトレーションテストはセンシティブな商業部門 (銀行業界等) を保護するのに適当ではなくなっていると想定されている。これを受けて、英国金融当局 (イングランド銀行、大蔵省、金融行動監督機構) は、金融機関をサイバー脅威から守るためのいくつかの手段を推奨している。これには「英国政府内で活動している脅威インテリジェンスプロバイダーからの勧告」を受けること等が含まれている[4]

戦術サイバーインテリジェンス

編集
  • 大量のデータにコンテキストと関連性を提供する
  • 能動的なサイバーセキュリティ体制の展開と全体的なリスク管理ポリシーの強化を行う組織能力を高める[要出典]
  • サイバー侵入の最中または後にどのような意思決定をすればより良いかを知らせる
  • 受動的なだけではなく能動的でもあるサイバーセキュリティ体制に向けた動きを推進する[5][要ページ番号]
  • 高度な脅威をより良く検出できるようにする

サイバー脅威インテリジェンスの価値に関する課題と論争

編集

サイバー脅威インテリジェンス調査が直面している課題もある。これには脅威インテリジェンスの価値と、脅威インテリジェンスが本当に機能するのかということに関するいくつかの論争が含まれる。現状の脅威インテリジェンスが本当に効果的かどうかに関して、様々な専門家が懸念を表明している[6][7][8]。一方で、脅威インテリジェンスは脆弱性とその解決方法の特定に役立ち得ると主張している者もいる[9]

要因分析

編集

サイバー脅威には、コンピューター、ソフトウェア、そしてネットワークの使用が絡む。サイバー攻撃の最中または後、攻撃者と被害者間の該当するネットワークとコンピューターに関する技術情報は収集することができる。しかし、攻撃に関与した人物、動機、または攻撃の最終的なスポンサーを特定することは困難である。脅威インテリジェンスに関する近年の取り組みでは、敵のTTP (戦術、技術、プロシージャ英語版) を理解することが重視されている[10]

APT要因分析の研究

編集

CTIと政治的リスク

編集

米国、ロシア、中国、そしてイラン等の地政学的に影響力の高い国々は、外交政策と情報収集政策の延長としてサイバースペースを使用している。これらの目的を達成するため、主に以下の分野に特化したAPT部門が組織されている。

  • 会社または政府のコンピューターシステムからの機密情報の収集
  • 不可欠なインフラコンピューターシステムの電子的ペネトレーションまたは破壊 (たとえばスタックスネットを参照)

現在の地政学的論争と上層部の隠れた政治的動機の深い理解を含めてCTIと政治的リスク分析を組み合わせることで、アナリストは未来のサイバー戦争のパターンを理解することができる[要出典]

発展資料

編集

脚注

編集

関連項目

編集