【ブログ】Beyond Your Network ~Cognyte社インタビュー~(9/12)
当社は2019年から、サイバー脅威インテリジェンス(CTI)プラットフォーム『LUMINAR』を開発するCognyte社の日本総代理店を務めています。
取扱いを開始した当初は「サイバー脅威インテリジェンス」という言葉自体がまだ日本で浸透していない時期でしたが、数年を経て、2024年に入ってから非常に多くのお問い合わせを頂くようになっています。
自組織のネットワークの外側に存在する脅威を監視、検出してくれるのがサイバー脅威インテリジェンスです。つまり、サイバー脅威インテリジェンスとは、このブログのタイトルであるBeyond Your Networkにある脅威対策です。
しかし、このブログではその逆をお伝えしたいと思います。
Beyond Your Networkに存在する脅威の話ではなく、そこに存在する私たちを助けてくれる仲間の話です。私たちは自組織のメンバーだけで自組織を守れるとは限りません。
このブログでは、私たちの組織を脅威から守るために、どんな人が何をしてくれているのか、少し紹介したいと思います。
今回は、Cognyte社のLUMINARチームでアナリスト兼リサーチャーとして働くリヒ・ゼルヒア-ビアレル氏(Lihi Zerchia-Bialer)に話を聞きました。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
プロダクト脅威インテリジェンスアナリスト兼サイバー脅威インテリジェンスリサーチャー
リヒ・ゼルヒア-ビアレル氏
あなたの役割について教えてください
Lihi:Cognyteでは、サイバー以外の脅威インテリジェンスソリューションを提供しています。ですが、私の所属はサイバー脅威インテリジェンスのプラットフォームである『LUMINAR』を担当するグループで、プロダクト脅威インテリジェンスアナリスト兼サイバー脅威インテリジェンス (CTI) リサーチャーという役割です。
プロダクトアナリストとしての私の主な仕事は、AI機能を搭載し、進化を続けるLUMINARを効果的に使用する方法についてお客さまをサポートすることであり、お客さまからの問い合わせにも対応しています。例を挙げると、お客さまの組織に送られてきた疑わしい電子メールの調査を実施したり、特定の脅威または攻撃グループに関する追加の情報提供を求められることがよくあります。それに加えて、CTIリサーチャーとしては、お客さま組織や所属業界に直接影響を与える可能性のある外部のサイバー脅威を特定することを支援しています。
リサーチャーとしての1日の流れを教えてください
Lihi:私の1日は、LUMINARにログインして、またさまざまなサイバー関連ソース(ダークウェブのフォーラムやブラックマーケットプレイス、Telegram、ランサムウェアサイトなど)から、お客さまに関連する可能性のあるさまざまなグローバル脅威を調査することから始まります。脅威を特定できた場合、その脅威を解説するレポートやアラートを作成し、お客さまに提供します。リスクの程度や脅威アクターとそのTTP (戦術・技術・手順)の分析と評価と併せて、リスク軽減のための推奨事項も提供しています。
日中は、既存のお客さまに対して、効率を向上させるための方法論のセッションを提供したり、LUMINARの導入を考えているお客さまに対してデモやトレーニングを行ったりしています。CTIのリサーチャーとして、特定のトピックや脅威アクター、サイバー脅威の状況における主要な傾向についても詳細な調査を行っています。 前回の年次報告書(2024脅威インテリジェンスレポート)の作成時は、LUMINARのAI駆動型のダッシュボードも使用しました。このダッシュボードは、主要なサイバー関連インシデントを毎日集計する生成AI 独自のフィードに基づいて、グローバルな脅威の状況に関する分析と洞察を提供しています。
このキャリアを選んだ理由を教えてください
Lihi:私の国、イスラエルには兵役があるのですが、私は兵役中、インテリジェンス関連の任務に就いていたので、以来、インテリジェンスの世界に惹かれてきました。生の情報を特定し、それを分析してコンテキスト化する(背景や前後関係など相互に関連付け、価値のあるデータとする)ことで、より大きく、かつより正確な絵を描くことができます。それは私に大きな満足感と意義を与えてくれます。
退役後、しばらく、イスラエルの内務省で国境管理官として働いていましたが、Cognyteの脅威インテリジェンスアナリストの募集を見つけたとき、これは自分が興味を持っていたインテリジェンスのエキサイティングな世界に戻るチャンスだと思い、すぐに応募しました。
学生時代の専攻など、アカデミックな背景を教えてください
Lihi:テルアビブ大学で政治学と中東史の学士、大学院では中東史の修士号を取得しています。
昔から歴史に興味関心があり、高校ではアラビア語を勉強していました。私がこの道に進んだのは、父の影響も大きかったのではないかと思います。陸軍の上級将校だった父は流暢なアラビア語を話します。父は中東史と政治学の学士も持っていて、今でも実家の本棚には中東に関する理論書がぎっしり詰まっています。ですから、家庭環境の面でもアラビア語 (中東研究の学生には必須科目) と中東への関心がとても強かったというのはあると思います。
今後の目標を教えてください
Lihi:立場上、当然のことではありますが、まずは、お客さまが直面しているサイバー脅威を理解し、組織をより適切に保護し、高いレベルのセキュリティを維持できるように支援し続けることを目指しています。それに加え、LUMINARの機能強化、機能拡充に貢献することも私の目標です。
それに関連して最後に、もう一つ。
生成AIの登場はサイバー脅威インテリジェンスの分野にも大きな変革をもたらしています。
私たちが継続的に取り組んでいることの1つにも、生成AI機能の強化、拡充があります。
個人的には、監視しているさまざまなソースで公開されている投稿に対し、AIによって生成された推奨対応策に関するプレイブックを見たいと思っています。お客さま 、およびアナリストである私たちに多大な利益と効率化をもたらし、付加価値を提供できると考えています。
私たちのチームは、LUMINARの使用を最適化し、お客さまのニーズに効果的に対応できるように機能を拡張して、お客さまのサイバーセキュリティ体制の強化を支援することに深くコミットしていますので、生成AIを活用した自動化、対策に関する提言は理想に一歩近づける気がします。
こうした活動の1つ1つが、ひいては個々の組織を保護するだけでなく、すべての人にとってサイバー空間をより安全な場所にすることへの貢献に繋がると考えています。
Cognyteでの経験は、あなたの仕事や業界全体に対する考え方にどのような影響を与えましたか?
Lihi:入社以来、変化し続けるサイバー空間とお客さまのニーズに対応するため、私自身も絶えず柔軟な姿勢で、進化し、学んできたという自負はあります。お客さまと緊密に連携することで、さまざまな種類の脅威と、それらに対応するさまざまな方法に触れる機会も少なくありません。こうした経験は、効果的な脅威軽減戦略に関するリアルタイムの生きた学習の機会であり、私の観察力を磨いてくれており、非常に貴重な経験です。
サイバー脅威の世界における私の専門知識は厚みを増し、サイバー関連とそれ以外の両方の包括的な調査を実施する上で貴重な経験を積むことができています。異なる観点から深く物事を見る習慣を身につけ、分析スキルを磨いたことで、より効果的に調査を開始、実施することもできるようになりました。この継続的な日々の学習とそれに伴って求められる適応力は、絶え間なく変化するサイバー空間における脅威や市場のニーズを満たすために不可欠であると感じています。
Cognyteで最も印象に残っている瞬間は?
Lihi:2018年4月の入社初日が印象に残っています。 当時はまだLUMINARのプラットフォームは開発段階にありましたが、実際に初めて使ったとき、息を吹き込まれたプラットフォームが目の前で生き生きと動いているのを見て感動したものです。
それと、LUMINARで初めてお客さまのWebサイトの1つとほぼ同じように見える不審なドメインを検出したケースも印象的でよく覚えています。検出後、脅威の可能性を認識した私たちは、直ちに調査を行い、そのドメインが実際にお客さまのサイトになりすましていることを確認しました。LUMINARによって自動的に収集、分析されたデータを使って、私たちが提供するテイクダウンサービスを通じて、結果的に悪質なドメインを削除し、潜在的なフィッシング攻撃からお客さまを保護することができた一連の経験も、鮮明に覚えています。
何事においても、自分が誰かの役に立てたという実感は良いものです。
入社した時に開発段階にあったソリューションが、実際に目の前で誕生し、それによるプロアクティブな対策が、実際に差し迫った脅威からお客さまを保護する上で大きな違いをもたらす、という一連の革新的なプロセスを身をもって体験できたことをうれしく思います。
LUMINARの機能を最大限に活用するためのヒントを教えてください
Lihi:LUMINARを最大限に活用する最善の方法は、脅威インテリジェンスモジュールを使用することだと思います。LUMINARには、認証情報の侵害、外部からの攻撃対象領域の管理 (EASM)、脆弱性インテリジェンス、不正行為の軽減など、特定のユースケースに対応するためのさまざまなReady-to-Useモジュールが用意されています。各モジュールは、組織が脅威を検出し、自動リスクスコアリングによってリスクを評価し、最終的に脅威から保護するためにリスクを軽減するのに役立つように設計されています。
サイバー脅威インテリジェンス全般に関して、何かアドバイスがあれば教えてください
Lihi:新しいマルウェア、大規模攻撃、APT (Advanced Persistent Threat) キャンペーン、脆弱性など、サイバー関連のニュースを把握し、自分の知識を常に最新の状態に維持しておくことを強くお勧めします。これにより、進化し続けるトレンドを追い、脅威アクターの戦術、技術、手順 (TTP) を理解することができます。この知識は、防御を強化し、新たな脅威に効果的に対抗しようとする組織にとって重要かつ基本的な資産となります。
もちろん、LUMINAR上のCyber FeedやThreat Intelligence Hubからも動向を知ることも可能です。
最後に日本やアジア圏における動向をどう見ているか、教えてください
Lihi:私たちが収集しているデータを見る限り、日本はAPAC圏において、ランサムウェア攻撃の恰好の的とされています。産業別で言うと、自動車を含む製造業はもちろんのこと、空港や港、政府機関、役所、重要インフラも攻撃者が好んで標的とする対象です。こうした傾向はLockBitやBlackCat(Alphv)、Cl0pと言ったよく知られているランサムウェア攻撃グループによって形作られています。これは、日本の皆さまのセキュリティ対策の一環を担う私たち、Cognyteとして注視していかなければならない環境であり、この地域の動向の監視を引き続き行ってまいります。 記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)