SOMPO CYBER SECURITY
皆さん、こんにちは。
SOMPO CYBER SECURITYで上級研究員を務めるマオール・シュワルツ(Maor Shwartz)です。
私は来日する以前から現在までの10年近く、軍(イスラエル国防軍8200部隊)と民間(インテリジェンスを扱う専門企業や機微な情報を持つ民間企業)の立場でインテリジェンス及びサイバーセキュリティに携わってきました。(私の詳細なプロフィールなどはこちらの過去記事をご覧ください)
このブログではそうした私の経験をもとに、組織がサイバーセキュリティの運用強化のための有用なツールの1つである「サイバー脅威インテリジェンス (CTI)」 に焦点を当てて、皆様のお役に立つ情報を提供いたします。前回は前編として、その重要性や主な情報源、利用例を取り上げましたが、今回は前編で取り上げた利用例をさらに深堀りすると同時に、異なるユースケースも紹介していきます。
後編となるこの記事では、以下のトピックを取り上げます。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
サイバー脅威が高度化し、蔓延している今日のデジタル社会において、組織は機密データを含む重要資産を保護するための事前対策を入念に行う必要があります。サイバー脅威インテリジェンスは、こうした防御戦略の重要な要素として機能し、潜在的なリスクと脆弱性に関する貴重な洞察を提供します。
ここでは、4つの中核となるユースケースを関連するリスクとリスク軽減のために推奨される内部プロセスを説明します。
攻撃者は、侵害された認証情報を悪用して機密性の高いシステムやデータに不正にアクセスします。そのため、組織はダークウェブのマーケットプレースやフォーラムで、自組織の流出データが出回っていないかを積極的に監視することが重要になります。侵害された認証情報を早期に特定し、迅速に対応することで、潜在的な侵害の影響を最小限に抑えることが可能になります。具体的には、侵害された認証情報を使った不正アクセスのリスクを軽減し、重要資産の保護を強化することができます。
認証情報の侵害は、いくつかの相互に関連するリスクにつながる可能性があります。サイバー脅威インテリジェンスで監視できる侵害された認証情報が、どういったリスクを軽減できるのか、具体的なイメージを持ってもらうために、認証情報の侵害が影響し得る、リスクの例を挙げてみましょう。
攻撃者は認証情報を入手すると、多くの場合、異なるプラットフォームやサービスでこれらの認証情報を再利用しようとします。この手法では、パスワードの使いまわしを行う一般的なユーザーの悪習慣が利用され、組織内の他のアカウントやシステムへの不正アクセスを生じせる可能性が高くなります。
侵害された認証情報を利用して組織のシステムにアクセスした攻撃者は、ネットワーク内を移動して、権限を昇格させ、より機密性の高いデータやサービスにアクセスしようと試みます。組織のインフラ内の深層環境を探索し、重要なシステムやデータリポジトリにアクセスできる可能性があります。
権限昇格はより機密性の高いデータなどへのアクセスですが、この場合、攻撃者はネットワーク内を横方向(ラテラル)に移動し、侵害された認証情報を利用して、追加のシステムやアカウントに侵入することができ、ネットワーク内でより広範なアクセスを手に入れることができます。多くの場合、脆弱性を持つシステムや闇市場で価値の高いとされる情報資産をターゲットにします。
ランサムウェア攻撃の展開も侵害された認証情報を発端とするリスクの1つです。攻撃者は、不正アクセスを悪用して組織データを暗号化し、身代金を要求、支払われるまでアクセスできないようにします。
認証情報の悪用により、組織のシステム内に格納されている機密性の高い個人情報や財務情報にアクセスして盗むことができます。盗まれたデータは、ダークウェブ上などの違法市場での取引など、さまざまな詐欺行為に使用されるなど、ブランドイメージの毀損や法的責任に問われる恐れもあります。
侵害された認証情報を利用して、正規のユーザーになりすますことで、攻撃者は不正なお金のトランザクションを実行したり、データを操作したりすることができます。こうした行為は、金銭的損失、ブランドイメージの毀損、法的責任に問われる恐れがあります。
侵害された認証情報を利用して、組織内の他のユーザーに対して標的型フィッシングキャンペーンを展開されるリスクもあります。信頼できるソースからのものであるように見えるため、効果的、かつ追加の認証情報や機密情報を侵害するソーシャルエンジニアリング攻撃につながる恐れがあります。
CTIによる監視で認証情報の侵害から被害拡大を防ぐ
侵害された認証情報に関連するリスクを軽減するために、組織は次の内部プロセスを確立する必要があります。
すべての重要なシステムとアプリケーションにMFAを実装して、セキュリティの保護レイヤーを追加
ダークウェブやアンダーグラウンドのフォーラムで侵害された認証情報を継続的に監視
定期的なセキュリティ研修を実施して、フィッシングの手法や強力なパスワード生成の重要性について従業員を教育
調査、封じ込め、復旧の手順を含む、侵害された認証情報に対処するためのインシデント対応計画を作成
組織のブランドイメージや評判を保護するには、フィッシングや更新のし忘れで失効したドメインを奪われるなどのドメインハイジャックといったドメインに関連する攻撃を警戒する必要があります。
不正なドメインを特定し、脅威を軽減するための迅速なアクションを実行(不正ドメインのテイクダウンなど)することで、ブランドイメージの悪化や機会喪失や賠償責任を含めた金銭的損失のリスクを軽減することができます。
ドメインに関連するリスクを軽減するために、組織は次の内部プロセスを確立する必要があります。
組織のブランドまたは正当なドメインを模倣またはなりすますドメイン登録を監視
サイバー脅威インテリジェンスによって特定された不正または悪意のあるドメインに対する迅速な対応と削除の手順を構築
法的措置を含めて、必要に応じてドメインに関する脅威から組織のブランドを保護する戦略を明確化
ドメインに関するセキュリティポリシーを定期的に見直し、新たな脅威とベストプラクティスとの整合性を担保
2023年初期のアクセスベクトルとして、脆弱性の悪用がほぼ3倍に膨れ上がり、2024年には新しい脆弱性が少なくとも30%増加し続けており、脆弱性への対応は終わることのない負荷の高いタスクであることがわかります。
脆弱性インテリジェンスには、組織のITインフラストラクチャ内のソフトウェアの脆弱性の体系的な識別、評価、および優先順位付けが含まれます。このプロセスにより、セキュリティチームは潜在的な脅威が悪用される前に、リソースを効果的に割り当てることができます。
脆弱性インテリジェンスは、サイバー犯罪者が標的の組織に侵入して、機密データを盗むために悪用する最新の脆弱性と、その悪用の検出と報告に焦点を当てた、サイバー脅威インテリジェンスの専門領域で、リスクの深刻度とその悪用の可能性などの情報も含みます。
脆弱性インテリジェンスを入手できることで、効率的にセキュリティ上の欠陥の優先順位付けと対処を行うことができ、リソースの無駄遣いを減らし、タイムリーに修正プログラムを実装し、サイバー攻撃やデータ侵害のリスクを軽減することができます。
*詳細はブログ「脆弱性インテリジェンスでセキュリティ上の弱点に対処しましょう」をご覧ください。
また、侵害の指標 であるIoC は、マルウェア、侵害された認証情報、データ流出などの攻撃が既に発生しているか、アクティブに進行中であることを示す証拠を提供することで、脆弱性インテリジェンスにおいて重要な役割を果たします。IoCには、疑わしいファイルの変更、不正アクセスの試行、またはセキュリティ侵害を示す可能性のある異常なネットワークトラフィックパターンが含まれる場合があります。
脆弱性インテリジェンスを最大限に活用し、リスクを軽減するために、組織は次の内部プロセスを確立する必要があります。
自動のツールと手動での確認によって、定期的な脆弱性評価を実施し、弱点を特定
脆弱性の重大度と潜在的な影響に基づいて、優先順位を付けてパッチを適用するプロセスを構築
脆弱性管理に対するリスクベースのアプローチを採用し、重要な資産と脆弱性にリソースを集中
特定された脆弱性を修復するための明確な報告メカニズムとタイムラインを確立し、説明責任と迅速な行動を確保
攻撃対象領域とは、悪意のある脅威アクターによって悪用される可能性のあるすべての潜在的な脆弱性ポイントを指します。これには、ウェブサーバー、メールサーバー、モバイルアプリケーションなどの把握されているインターネットに接続されている資産に加え、ITチームまたはセキュリティチームによって把握または監視されていない可能性のあるいわゆるシャドーIT資産も攻撃対象領域に含まれます。
効果的な攻撃対象領域の管理には、把握している資産とシャドーIT資産の両方を識別、監視、および保護することが含まれます。シャドーIT資産は、通常のセキュリティ評価や脆弱性スキャンに含まれないことがあるため、重大なリスクをもたらす可能性もあります。これらの盲点に対処することは、冒頭のユースケース1「侵害された認証情報の監視」でも紹介されているような、そこから派生する恐れのあるリスクを最小限に抑えるためにも不可欠です。
攻撃対象領域の管理に関連するリスクを軽減するために、組織は次の内部プロセスを確立する必要があります。
定期的な資産検出のためのスキャンを実装して、シャドーIT資産を含むネットワークに接続されているすべてのデバイスとサービスを識別
シャドーIT資産を含むすべての新しい資産がセキュリティ評価を適切に受け、公式インベントリに追加されることを義務付けるポリシーを策定
攻撃対象領域の継続的な監視ができる環境を整え、承認されていない変更や新しい露出を迅速に検出できる体制を整備
堅牢なパッチ管理プロセスを確立して、すべての資産に対してタイムリーな更新を確実に適用し、脆弱性を削減
攻撃対象領域の監視
これらのサイバー脅威インテリジェンス活用のユースケースを既存のサイバーセキュリティ戦略に統合することで、組織は効果的にリスクを軽減し、脅威に迅速に対応し、堅牢なセキュリティ体制を維持することができます。サイバー脅威インテリジェンスは、潜在的な脅威を可視化するだけでなく、進化するサイバー脅威から保護するためのプロアクティブな対策を講じることへも貢献します。
セキュリティ運用の基本的な要素としてサイバー脅威インテリジェンスを採用することで、企業は今日の高度な脅威の状況から保護するための可能な限りの準備を整えることができます。
*実際の導入事例については、ホワイトペーパー「みんなはどう使ってる?(Cognyte 活用事例集)」を参照してください。
サイバー脅威インテリジェンスの注目すべき主な利点の1つは、SaaS製品として提供された場合の、その拡張性と管理のしやすさです。CTIソリューションは独立して動作し、インフラとの統合を必要としません。これにより、組織内での導入と拡張が比較的容易で、導入に要する工数の負荷を抑え、日常業務を中断することなく、運用に乗せることが可能です。
サイバー脅威インテリジェンスソリューションは、多くの場合、既存のセキュリティ製品とのインテグレーションによって効率的な管理も可能です。ドメインやIPアドレスなどの監視対象資産を定期的に更新できる柔軟性も兼ね備えているため、進化し続ける脅威と変わり続ける自組織の資産に対応することも可能です。この適応性により、中堅企業や大企業にも適したツールであると言うことが可能です。
サイバー脅威インテリジェンスソリューションは拡張性が高いと書きましたが、グループ会社や関連会社など複数の組織で横断的かつ効果的に利用できる、という面でもその拡張性が発揮されます。組織はそのカバー範囲を最大化かつ最適化し、作業を重複させることなく組織のさまざまな部分を監視することが可能です。このアプローチにより、統一されたセキュリティポリシーの実装が横断的に可能になり、すべてのグループ会社で一貫した監視と対応が保証されます。このような戦略は、コスト効率を高めるだけでなく、複雑な組織構造の包括的な保護にも貢献します。
予算の制約は多くの組織が抱える問題であり、予算を確保し、サイバー脅威インテリジェンスソリューションを即導入し、使いこなすのは困難です。こうしたケースではレポートサービスは比較的コストパフォーマンスの高い出発点と言えるでしょう。通常レポートサービスは、組織の脅威状況の包括的な評価を提供し、セキュリティチームが日々の運用や監視を行わなくてもサイバー脅威インテリジェンスの価値を実証できるようにします。
このようなレポートサービスの主な目的の1つは、サイバー脅威インテリジェンス活用の利点を目に見える形で紹介し、経営層の賛同を得ることです。サイバー脅威インテリジェンスのメリットについて経営陣に理解を深めてもらい、潜在的なリスクと脆弱性に関する明確な洞察を提供すると同時に、それによる対策の効果を指し示すことで、組織はCTIソリューションへのより持続的な投資の事例を構築することが可能となります。
このアプローチを成功させるためにも、セキュリティチームは経営層にも理解されやすいKPIを設定して準備する必要があります。これらのKPIには、次のものが含まれます。
これらの数字や特定のリスク回避の実例を指し示すことで、経営層など、社内の関係各所に対し、その価値を視覚化し、レポートサービスの先にあるCTIソリューションを使った運用の推進をはかることができるようになります。
サイバー脅威インテリジェンスは、セキュリティ防御の強化を求める組織に対し、拡張性があり、実装が容易な解決策を提供します。攻撃対象領域の管理、脆弱性インテリジェンス、侵害された認証情報、ドメインの監視など、管理可能でその価値を理解されやすいユースケースに重点を置くことで、その価値の証明をより簡単に行うことも可能です。
予算を重視する組織では、レポートサービスから開始して、経営層を含めた関係各所にCTIの価値を実証するためのエントリーポイントとして活用してみましょう。
CTIソリューションは、拡張性があり、コストパフォーマンスに優れており、組織のニーズに合わせて進化する柔軟性を備えています。サイバー脅威との戦いにおける重要なツールとして、今後、日本においても活用が広がると予想しています。
前編、後編と二部に分けて、お届けしてきた「サイバー脅威インテリジェンス=CTIとは?」いかがでしたか?
活用してみたい、使ってはいるがうまく使いこなせていない、こんな課題を抱えているなど、SOMPO CYBER SECURITYにご相談いただければ幸いです。最後までお付き合いいただき、ありがとうございました。
イスラエル出身。軍隊時代は空軍のインテリジェンス部隊、及び8200部隊と呼ばれる諜報機関に所属。除隊後、「サイバーオフェンス(ホワイトハッカー)」と「サイバーディフェンス」両方の専門知識を活かし、民間企業でサイバーセキュリティ業務に従事。Black Hat USA 2019に登壇(Selling 0-Days to Governments and Offensive Security Companies)。2019年5月よりSOMPOリスクマネジメントでシニアリサーチャーとして活躍中。愛読書は五輪書(宮本武蔵の著した兵法書)。
イベントお申し込み(SEMIジャパン管理サイト) セミナー概要 サプライチェーン全体のサイバーセキュリティ強靭化を目指し、SEMIジャパンは7月1日より「サイバーセキュリティスコアリングサービス」を開始しました。本サービスは、半導体装置・材料・デバイスメーカーを含む約3,000社が参加する国際工業会のネットワークを活かし、各企業のセキュリティ対策状況を数値化・可視化することで、脆弱性の把握と対策強...
サイバー脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte | 2025年6月 ランサムウェアは2025年に急増しており、いかなる組織も絶対安全ではありません。2025年のCognyte脅威インテリジェンスレポートによると...
当社が日本総代理店を務める脅威インテリジェンスベンダーのCognyte社による2025年版の脅威インテリジェンスレポートでは、ランサムウェア攻撃や昨今注目を集めている脆弱性の悪用、盗まれた認証情報の悪用などを含むサイバー脅威を分析しながら、世界的な脅威の傾向についての洞察を解説します。昨今の脅威状況の傾向に加え、推奨策や、今後予想されることについての洞察も記しています。サイバーセキュリティ業務に携...
デジタルトランスフォーメーション推進部 担当課長 戸松 聡氏 サプライチェーンリスク評価サービス『Panorays』の導入事例として、鴻池運輸株式会社さまにお話をうかがいました。 物流業界の現状には、増え続ける配送量や利便性を求める世の中の変化に対し、人手不足などの問題があります。効率的かつ安全で、快適な労働環境を守りつつも、社会における需要の拡大、ニーズの高度化にも応えていく必要があり、非常に難...