%{FACEBOOKSCRIPT}%

サイバーセキュリティお役立ち情報

お役立ち資料
サイバーセキュリティブログ
用語集
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. 【ブログ】中堅企業向けサイバー脅威インテリジェンス活用ガイド ~導入時や運用の懸念を払拭~(4/28)

【ブログ】中堅企業向けサイバー脅威インテリジェンス活用ガイド ~導入時や運用の懸念を払拭~(4/28)

サイバーセキュリティブログ 記事一覧 脅威インテリジェンス
脅威インテリジェンス 情報漏えい ランサムウェア サイバー犯罪 Cognyte セキュリティ対策 ダークウェブ マオール・シュワルツ おすすめ
  • LINEで送る
  • このエントリーをはてなブックマークに追加
【ブログ】中堅企業向けサイバー脅威インテリジェンス活用ガイド ~導入時や運用の懸念を払拭~(4/28)

皆さん、こんにちは。

SOMPO CYBER SECURITYで上級研究員を務めるマオール・シュワルツ(Maor Shwartz)です。

私は来日する以前から現在までの10年近く、軍(イスラエル国防軍8200部隊)と民間(インテリジェンスを扱う専門企業や機微な情報を持つ民間企業)の立場でインテリジェンス及びサイバーセキュリティに携わってきました。(私の詳細なプロフィールなどはこちらの過去記事をご覧ください) 

今回のブログでは、使いこなすには高度な知識やスキルが必要であると思われ、大手企業を除いては敬遠されてきたサイバー脅威インテリジェンスの誤解を解いていこうと思います。最後までお付き合い頂ければ幸いです。

サイバー脅威インテリジェンス (CTI) とは、組織の内部ネットワークの外に存在するサイバー脅威情報のことを指し、サイバーセキュリティの強化に役立てることができます。

大企業の多くは、CTIを活用しながらサイバーセキュリティに必要な投資を行っています。しかし、規模がより小さい中堅企業では、リソースも限られていることから、対応が追い付いておらず、サイバー攻撃者にとって格好の標的となっています。Cognyte社のLUMINARをはじめとする最新のCTIプラットフォームは、脅威情報の収集から精査までが自動化されているため、専門知識がさほど無くても運用と管理が可能となっており、さらに拡張性も兼ね備えているため、中堅企業でも比較的容易に導入できるものもあります。

サイバー脅威インテリジェンスの活用は、かつてほど複雑なものではなくなってきています。

サイバー脅威インテリジェンスの活用の重要性や、中堅企業が抱える課題、その解決方法を見ていきましょう。

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

目次

 

はじめに

主要なCTIプロバイダーは、これまでの多種多様な業界や組織規模での継続的な監視から得た洞察を、そこから培った自らの経験と共にプラットフォームに組み込んでいます。これらのプラットフォームには、大きく分けて、次の2つのアプローチ方法があります。

  1. 既定のユースケースでのアプローチ法:
    一般的なセキュリティ課題に対処できるよう、予めプロバイダー側で構成済みのモジュールを使用する方法。これにより、ユーザー組織は最小限の設定作業でCTIの活用を開始し、迅速にその価値を体感することができます。
  2. ユーザー固有の脅威に特化したアプローチ法:
    ユーザー固有のリスクプロファイルに基づいてカスタマイズされた洞察やプロバイダーの脅威インテリジェンスの専門知識をもとに、ユーザー組織はセキュリティ戦略を見直すことで、重要度の高い脅威と脆弱性から対処が可能となる方法です。

近年のCTIソリューションは、予め用意されているユースケースと自動化されたプロセスにより、従来の複雑な脅威インテリジェンス運用を簡素化し、リソースが限られている中堅企業であっても堅牢なサイバーセキュリティを効果的に展開できるよう設計されています。

では、実際のCTIの重要性や活用における課題、その解決方法などを見ていきましょう。

中堅企業におけるCTIの重要性

近年、サイバー攻撃は、その頻度と巧妙さにおいてエスカレートしています。アメリカの中小企業庁の2023年の報告書によると、サイバー攻撃の43%が中堅企業を標的にしているにもかかわらず、これらの企業の14%しか適切なセキュリティ対策が講じられていないとされています。セキュリティ対策が不十分の場合、損益に直結するデータ侵害や業務の中断、さらには信頼の損失にも繋がる恐れがあります。

日本の状況については、最近のデータによると、日本企業の30%が過去一年間にデータ侵害を経験しており、そのうち79%が頻度の増加を指摘しています。そのような状況にもかかわらず、75%の組織がデータ侵害への対策は充分だと認識しています。 IBMの2024年データ侵害のコストに関する調査によると、国または地域別のデータ侵害のコストで日本は8にランクされています。「自分は大丈夫」という思い込みもあるようですが、実際に被害に遭った場合を想定し、防御のレイヤーを増やしておくことが重要です。

以下は、CTIの機能です。どのような保護レイヤーを追加できるものなのか参考にしてください。

・脅威の早期検出:悪用される前に侵害された認証情報を特定
・脆弱性インテリジェンス:デジタルインフラの弱点にプロアクティブに対処
・ブランドとドメインの保護:なりすましやフィッシング攻撃を監視
・ランサムウェアの監視:新たなランサムウェアの脅威と攻撃キャンペーンを追跡
・業界固有の脅威インテリジェンス:業界全体に対する脅威情報に関するリアルタイムの洞察

CTIの活用は、組織が脅威にさらされるリスクを大幅に軽減し、規制による罰則を回避し、セキュリティ対策の改善を促し、ひいては顧客や社会における信頼を高めることに繋がります。

CTIには、セキュリティ強化以外にも、次のような具体的なビジネス上のメリットがあります。

  • コストの削減:
    脅威の早期検出により、サイバーインシデントの発生リスク自体を軽減し、インシデントによる損失の軽減が可能です。調査によると、サイバーセキュリティによって回避可能な損失に対してのサイバーセキュリティ投資の比率は約4:1です。つまり、サイバーセキュリティの投資1ドルあたり、4ドルの損失を防げる可能性があると言われています。
  • コンプライアンス:
    GDPR、NISTISMSISO 27001などのサイバーセキュリティフレームワークへの準拠をサポートします。

ISO/IEC 27001の2022年の改訂では、情報セキュリティリスクを管理するための手段として脅威インテリジェンスが加えられました。リスク管理とセキュリティ態勢を強化するために、サイバーセキュリティの脅威を収集および分析することの重要性が強調されています。Cognyte社のLUMINARのようなCTIプラットフォームは、脆弱性を特定し、侵害された認証情報を検出し、脅威をプロアクティブに軽減するための実用的な洞察を提供し、リアルタイムの脅威データをリスク評価プロセスに統合することで、ISMSへの準拠ををサポートします。詳細については当社のブログを参照してください。

中堅企業におけるCTI導入検討時の課題と懸念材料

次に、こうした保護レイヤーの追加による明確なメリットがあるにもかかわらず、中堅企業でのCTI活用が進まない背景を見ていきましょう。CTI実装が中堅企業に敬遠される理由は以下のような課題や誤解が存在するためと考えられています。

人材不足

従来のCTIソリューションでは、生データを処理し、関連付け、実用的な洞察を抽出する専任のアナリストが必要でした。中堅企業では、これらの専門的なサイバーセキュリティの知識を有する専門家が不足していることが多く、脅威インテリジェンスを効果的に活用することが困難と考えられてきました。

複雑であるという先入観

多くの企業は、CTIソリューションの運用には広範なサイバーセキュリティの専門知識が必要であると考えています。CTIを既存のセキュリティレイヤーに統合すると、構成がより複雑になり、今とは異なる専用のリソースが必要になることを懸念しています。

リソースの制約

予算の制限や他のセキュリティ製品との優先順位の問題により、CTIソリューションへの投資が躊躇されることがあります。エンドポイントの保護やファイアウォールなど、より差し迫ったセキュリティ上の懸念が優先され、CTIソリューションに予算を割り当てることは二の次となりがちです。

データの過負荷

従来のCTIソリューションで散見される問題の1つは、大量のインテリジェンスデータです。適切なフィルタリングと優先順位付けのメカニズムがないと、セキュリティチームはアラートの確認や処理に忙殺される可能性があります。

経営層へのROI(Return on Investment:投資利益率)の証明

中堅企業の経営陣の多くは、CTIの価値が不明瞭である以上、その投資には消極的です。CTIが財務上の損失、規制上の罰則、評判の低下を防ぐことができるという具体的な証拠が求められています。

サイバー脅威インテリジェンスサービス『LUMINAR』による課題の克服

Cognyte社が開発したサイバー脅威インテリジェンスのプラットフォーム『LUMINAR』は、体系化されたCTIを提供するソリューションで、中堅企業が懸念するサイバー脅威インテリジェンスの運用負荷を簡素化するように設計されています。主な特長とそのメリットは以下のとおりです。

サイバー脅威インテリジェンスサービス『LUMINAR』の概要

脅威インテリジェンスの分野で30年近い実績を持つCognyte社が開発するサイバー脅威インテリジェンスのプラットフォーム『LUMINAR』は、ユーザー組織のIT資産への脅威情報をサーフェスウェブ、ディープウェブ、ダークウェブを含むウェブ上のすべてのレイヤーで監視、収集、調査するプラットフォームです。各ユーザー組織(お客さま)のニーズにあった組織固有のモニタリングプランをCognyte社のサポートを得ながら、策定します。政府機関や民間企業が視野を広げ、プロアクティブに関連性の高いサイバー脅威に焦点を当て、対策を取ることを可能にします。

プラットフォーム上には、すぐに活用可能な複数のモジュールが用意されています。各モジュールは高度に構造化された実用的なインテリジェンスを提供するように設計されており、このモジュール型のアプローチにより、ユーザーは直感的にその管理画面を使うことが可能です。各モジュールは、セキュリティチームが迅速かつ効果的に行動し、リスクを軽減し、全体的なサイバーセキュリティ態勢を強化できるよう、対象を絞ったインテリジェンスを提供します。

事前に構成された主要なモジュールには、次のようなものがあります。

  1. 攻撃対象領域の管理:ユーザー組織のIT資産を継続的に監視し、インターネットに接続しているシステム、古いテクノロジ、シャドウITの脆弱性を特定
  2. ドメインの監視:ユーザー組織のブランドを悪用する可能性のある不正なドメイン登録、なりすまし、フィッシングキャンペーンを特定
  3. 侵害された認証情報:窃取され、取引される認証情報をダークウェブ上などで検出し、ユーザー組織が対応措置を取れるよう提供
  4. クレジットカードの監視:ダークウェブ上などで取引されているクレジットカード情報を追跡することで、不正行為を防止
  5. 脆弱性インテリジェンス:ソフトウェアの脆弱性に関する情報を提供し、予防的なパッチ適用とセキュリティ強化が可能
  6. 脅威アクタープロファイリング:サイバー犯罪者の行動と攻撃方法を分析して、先制防御に役立てることが可能
  7. ランサムウェアの監視:潜在的な攻撃を軽減するために、アクティブおよび新興のランサムウェアキャンペーンを特定
  8. 高リスクの個人の追跡:スピアフィッシングや役員へのなりすましなど、標的型のサイバー脅威から経営幹部や従業員を保護

これらのモジュールを活用することで、独自のインテリジェンス収集プロセスを開発する必要がなくなり、脅威の対応そのものに集中することができるようになります。

使いやすい管理画面

LUMINARの管理画面は、ユーザーが脅威インテリジェンスの活用をよりスムーズに行えるような構成とデザインになっています。生データでセキュリティチームを忙殺し、負荷をかける代わりに、収集された情報を管理画面上でより実用的な洞察に変換します。

  • 統合された脅威の可視性により、チームは単一のインターフェイスで複数の脅威を監視
  • 自動リスクスコアリングにより、セキュリティインシデントの重大度と潜在的な影響を理解した上で、対処に優先順位を付与
  • 直感的なナビゲーションにより、技術者もそうでない人も両方がデータをすばやく解釈して操作可能

直感的なユーザーエクスペリエンスを提供することで、サイバーセキュリティに関する深い専門知識がなくても応答時間を短縮し、組織全体のキュリティ態勢を向上させるのに役立ちます。

自動アラート

サイバー脅威を手動で追跡する必要はなく、自動化とAIを取り入れたワークフローを活用して、セキュリティチームが迅速かつ効果的に対応できるように、ほぼリアルタイムのアラートの配信を設定することが可能です。これにより、マニュアル作業を最小限に抑え、レスポンスタイムを短縮し、セキュリティ態勢を改善します。

オンボーディング時のサポートで運用開始をよりスムーズに

シームレスなオンボーディングは、導入後、CTI ソリューションの有効性を最大化するために不可欠なプロセスです。このプロセスを合理化し、ユーザーがプラットフォームをできるだけ早く使いこなせるようにするために、スムーズな導入と日常の運用の効率化を目的として、以下のようなアプローチをとっています。

ステップ1:モニタリングプランの定義

LUMINARから得られる情報を最適化し、関連性の高い脅威を確実に取得するには、適切なモニタリングプランが不可欠です。モニタリングプランの定義付けプロセスには次のものが含まれます。

  • キーワードに関するガイダンス:ユーザー組織のニーズに基づいて、監視すべき最も関連性の高いキーワードを選定
  • キーワードの検証:提供されたキーワードを確認して評価し、脅威状況とフォーカスしたい情報に適していることを確認
  • キーワードをカスタマイズ:業界固有の脅威と地理的なリスク要因に基づいてキーワードを追加し、モニタリングプランをさらに最適化

重要度の高いニーズを確実に網羅するために、モニタリングプランは次のように構成されています。

  • 公開されているIT資産の追跡
    • ドメイン:脅威をもたらす可能性のある新規登録ドメインに関するアラートを設定し、ドメインがダークウェブで言及されている場合もアラートを受け取れるよう設定
    • メールアドレス:流出データが公開されているサイトでユーザー組織のメールアドレスを特定し、ダークウェブやフォーラムでの言及を監視
    • IPレンジ:ダークウェブやフォーラムで言及されているパブリックIPアドレスを確実に特定し、関連する公開資産を検出
  • 高リスクの個人の保護
    • 経営層およびITスタッフ:スピアフィッシングのような標的型攻撃による脅威を軽減するために、漏洩情報のデータベース内における主要な個人の言及を監視
  • システムおよびインフラのセキュリティ
    • ITおよびOTシステム:ITおよび運用技術インフラの脆弱性を特定し、ダークウェブ上の投稿を追跡し、悪用可能なセキュリティ課題に対してアラートを発信
  • ブランドの保護
    • ブランドの監視:ダークウェブおよびサイバー犯罪フォーラムなどでユーザー組織名、または関連ブランドの言及を特定
    • ソーシャルメディアアカウントの保護:悪意のある脅威アクターによるソーシャルメディアアカウントの不正な言及または悪用を検出
  • キーワードとオントロジ
    • 特定の用語を選定:オントロジは、業界、地域、またはトピックごとに整理されたキーワードのセットで、検索を絞り込むために使われ、対象をより絞った洞察を得るために、過度に一般的な用語を避け選定

ステップ2:シームレスなプラットフォームの設定

モニタリングプランが決まったら、次は実際のLUMINARの導入をサポートします。

  1. インスタンスの作成:ユーザー組織のインスタンスが作成され、必要なすべての構成が適切に準備されていることを確認
  2. モニタリングプランの設定:選定されたキーワードに基づいてモニタリングプランをインスタント内に設定し、組織のセキュリティニーズに合わせて調整
  3. カスタムユースケースの構成:プラットフォームの関連性と有効性をより一層高めるために、業界固有および組織固有のユースケースを事前に構成
  4. 研修:プラットフォームの機能と日々の運用のための実用的なインテリジェンスの抽出方法など、包括的なトレーニングを提供

こうした実践的なステップバイステップのアプローチにより、ユーザー組織は、日頃の業務に支障をきたすことなく、CTIの活用を始められ、より迅速な脅威の検出と対応が可能になります。

ステップ3:継続的な最適化を実現するCognyteの伴走

LUMINARを使ってのCTIの価値を最大限に引き出し、その効果が持続するよう継続的なサポートが提供されます。以下のサポートが含まれます。

  • 脅威モニタリング戦略を改善するための専門家の推奨事項
  • 進化するビジネス上の目標とCTI機能の整合性をはかるためのステップバイステップの設定支援
  • セキュリティ戦略を継続的に強化し、最適な使用を確保するための継続的なカスタマーサポート

整備されたプロセスを確実に網羅していくことで、ユーザー組織はCTIを既存のセキュリティ運用にシームレスに統合し、導入当日からプロアクティブな脅威検出とセキュリティ態勢を確保することができます。

LUMINARがもたらすROI

前出のCTI導入時の課題と懸念材料のところで「経営層へのROIの証明」という項目がありました。CTIプラットフォームの活用がもたらす具体的なメリットの代表的なものを以下に挙げます。

  • コスト削減–セキュリティ侵害による金銭的損失を軽減
  • 規制への対応–業界のセキュリティ基準(:GDPRISO 27001)を遵守
  • 顧客の信頼–サイバーセキュリティを強化してブランドの評判を向上
  • 運用効率アップ–インテリジェンス主導のセキュリティ運用を自動化 

 では、次にCTIで具体的にどのような使い方ができるのか、例を挙げてみていきましょう。

『LUMINAR』の具体的な活用事例の紹介

ケース例:認証情報の侵害

価値を実感しやすい認証情報漏洩のケースを見ていきましょう。

LUMINARの導入により、漏洩した従業員の認証情報を即座に特定することが可能になります。侵害された認証情報のモジュールは、漏洩したメールアカウント (高リスクの従業員のものを含む) をダッシュボード上に集約して、リスク評価を提供し、リスクの軽減を実現します。カスタマイズ可能なフィルタと直感的に使える画面により、ユーザーは自分の優先順位に合わせて表示を簡単にカスタマイズできます。

クリック1つで、LUMINARが収集している認証情報にアクセスできます。侵害されたデータベース、ディープウェブ、ダークウェブ、インスタントメッセージングプラットフォーム、Infostealerマルウェアから盗まれた認証情報などが含まれます。

LUMINARのログイン画面 出典:LUMINAR

漏えいした認証情報 出典:LUMINAR

この画面には、認証情報の侵害の下に、3つの異なるサブユースケースも埋め込まれています。

  • ユーザー組織の従業員の認証情報 (ユーザー組織の認証情報)
  • ユーザー組織のクライアント ユーザー(ユーザー組織のウェブサイトまたはその他のリソースにアクセスできるその他の認証情報)
  • ユーザー組織のサプライチェーン (ユーザー組織のリソースにアクセスできるサードパーティの認証情報)

LUMINARは、強力なフィルタリング、検索、およびスコアリング機能が備わっており、誰でも、わずか数クリックで実用的なインテリジェンスを抽出できるようになっています。

LUMINARのフィルタリング機能 出典:LUMINAR


LUMINARのエクスポート機能 出典:LUMINAR

LUMINARでは、ユーザーは生データの恩恵を受けながら、幅広い機能を活用し、簡素化された情報を抽出できるため、導入当日からその効果を実感できます。

まとめ

いかがでしたでしょうか。これまで中堅企業では、いくつもの課題や懸念により敬遠されてきたCTIソリューションですが、Cognyte社の『LUMINAR』のような最新のCTIプラットフォームを利用すれば、それらの課題や懸念をクリアし、中堅企業でも大企業さながらの堅牢なサイバーセキュリティを講じられることがお分かりいただけたのではないかと思います。いつ受けるか分からないサイバー攻撃に備え、CTIソリューションを上手く活用し、サイバーセキュリティの強靭化に取り組んでいきましょう。

 


記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

  • LINEで送る
  • このエントリーをはてなブックマークに追加

新着情報

カテゴリ

すべて表示する

お役立ち情報一覧

タグ

すべて表示する

アーカイブ

アーカイブをすべて表示する

人気お役立ち資料

CONTACT

資料請求・導入に向けたお問い合わせ・ご相談はこちら

FREEサービス紹介やお役立ち資料を
無料でご活用いただけます