本記事の目的
1 か月前(2022 年 10 月末)に ISO/IEC27001 の改訂がなされた。本改訂に伴い「脅威インテリジェンス」について検討しないといけなくなる(はず)。ただ、脅威インテリジェンスが何なのか?よく理解していなかったのでこの機会に学んでみた。そのメモ。
脅威と脆弱性について
まずはここの概念を押さえることから。以下記事を参考にさせていただくと・・・
- 脅威:システム又は組織に危害を与える事故の潜在的原因
- 変えることができない = 脅威をなくすことは基本できない
- 脆弱性:脅威によって影響を受ける内在する弱さ
- 変えることができる = 脆弱性を軽減することはできる
上記 URL の「脅威:泥棒」と「脆弱性:古いタイプの簡易なドア鍵」の喩えは分かりやすいなと思う。
- 脅威(泥棒)をなくすことは自分たちにはできない
- でも、脆弱性(古いタイプの簡易なドア鍵)を変えることで、脅威に対抗することができる。
本題
ここからの内容は、以下記事を大いに参考にさせていただいてます。
脅威インテリジェンスとは
上記 URL によると、脅威インテリジェンス = 攻撃者の意図や能力、設備などに関する情報を整理および分析することで有益な知識を導き出し、使用可能なものに変えたもの とのこと。
これに続いて上記 URL 記事では例として
ある会社の情報セキュリティ担当者のあなたは、ある日、同業他社で大規模な情報漏洩事故が発生したことをニュースで知りました。そのとき、あなたがどのような行動を起こすかを想像してみてください。
と質問を投げかけている。他社で何か大きなインシデントが起きた際に「自分の組織は大丈夫かな?今のルール・やり方を見直したほうがいいかな?」と考えて何らかの改善アクションを取ることがなくはないと思うのだが、脅威インテリジェンスって結局こういうアクションのことを指しているといえそう。
一例として、2022 年 6 月におきた、尼崎市での USB 紛失の件を見てみる。
こちらは結局情報流出には至ってないので脅威は実質関わっておらず、脅威インテリジェンスを考える例としてはちょっとよろしくないところもあるが・・・記者会見でパスワードの桁数を漏らすなど良くないことがいくつかあった。これを見て人によっては、
- 業務で USB 使うのやめたほうがいいかも
- USB 使うとしても利用者制限をかけたほうが良さそう
- パスワードの桁数公表なんてするもんじゃないけど、社員みんなそこまでのリテラシー持ってるのかな・・・
など思うところが出てくるはず。こういった懸念を受けて改善行動を起こすのが「脅威インテリジェンス」という考えで良さそう。
具体的に何をすればよいか
ここまで「脅威インテリジェンスとは何か」について書いてきたが、では実際にどうしたらいいのか?という話に移る。上記記事では 3 つのポイントについて説明しているが、特に「収集対象とする情報の明確化」が重要そう。
収集する情報については大きく以下の 3 つに種類分けできるという。
具体例についても書いてくれているが、以上を自分なりに噛み砕くと、それぞれの情報を踏まえてのアクション例は以下のようになるかと。
| 種類 | アクション例 |
|---|---|
| Strategic |
IPA の「情報セキュリティ10大脅威」 をもとに、組織としてのセキュリティ対策方針を検討する 例えば、「ランサムウェアの脅威対策に向けて、組織内のアンチウィルスソフト・OS アップデートを強く推進していく」とか |
| Operational | 他社での被害事例を踏まえて、自社環境を再度調査する 例えば、他社でランサムウェアによる被害が出ているのであれば「そもそも自社って対策立ててたっけ?十分なことやってたっけ?」と振り返ってみる |
| Tactical | 脅威で観測される具体的な事象に関する情報 例えば、攻撃元 IP が分かっているのであればそこからのアクセスはブロックするように設定する、とかだろうか。脅威に対抗するために直接使う情報、といったイメージ |
めちゃくちゃかいつまんで言うと、「ちゃんと情報収集して、ちゃんと対策しましょうね」ということ。
終わりに
- 脅威インテリジェンスについて理解はしたが、実際にこれを実践するとなるとなかなか難しいところはでてきそう。
- Strategic・Operational な情報についてごく一部しか集められなさそう
- Tactical な情報について、実際に機器に正しく登録できているのか、見直しできているのか不安
- だからこそ脅威インテリジェンスのサービスが生まれているのだろうけど。