[レポート][株式会社マキナレコード]事例に学ぶ「サイバー脅威インテリジェンス」ことはじめ – CODE BLUE 2022 #codeblue_jp

CODE BLUE 2022 のセッション「[株式会社マキナレコード]事例に学ぶ「サイバー脅威インテリジェンス」ことはじめ」のレポートです。
2022.10.27

CODE BLUE 2022 で行われた下記セッションのレポートです。

セッション概要

タイトル

[株式会社マキナレコード]事例に学ぶ「サイバー脅威インテリジェンス」ことはじめ

概要

近年、サイバー犯罪が多様化・巧妙化する中、「サイバー脅威インテリジェンス」という言葉が日本のセキュリティ業界でも浸透してきました。海外にならい、すでに本格的に導入を進める企業も出てきています。
本講演では、導入に向けて検討中の方や情報収集段階の方に向けて、実際にゼロからインテリジェンスを導入した企業の事例と共に、体制構築までのプロセスを解説します。

Presented by

軍司 祐介 (株式会社マキナレコード 代表取締役)

レポート

  • アジェンダ
    • サイバー脅威インテリジェンスとは
    • 事例:インテリジェンス運用の実例
      • 数十のグループ会社をもつ、大企業におけるサイバーインテリジェンス
    • サービス紹介

サイバー脅威インテリジェンスとは

  • サイバー脅威インテリジェンスとは
    • インテリジェンスの定義
      • インテリジェンス = 意思決定を円滑に行う為の支援的なアウトプット
      • 意思決定者が、実際の意思決定に活用できるよう収集した情報を分析し、その結果を、意思決定者が求めるフォーマットで提供すること
    • データ・情報 VS インテリジェンス
      • 情報は背景のない断片的なもの
      • その情報を分析して評価して、背景を追加して完成したものがインテリジェンス
    • インテリジェンスのレベル
      • 戦略レベル(Strategic Intelligence)
        • 活用できる期間:半年 〜 1 年以上
        • 活用する役職・部署:経営者・事業部長向け
      • 運用レベル(Operational Intelligence)
        • 活用できる期間:1 ヶ月 〜 半年
        • 活用する役職・部署:担当部長・チームマネージャ
      • 戦術レベル(Tactical Intelligence)
        • 活用できる期間:現在 〜 1 ヶ月
        • 活用する役職・部署:現場担当者
    • 日本では、海外と比べてインテリジェンスチームが専属であることが少ない
      • チーム化するときは上記のレベルを意識することが大事
  • インテリジェンス・サイクル(1〜5 のサイクルを回す)
    • (1)プランニングと要件 - 意思決定者の要求を理解
      • ターゲットとスコープを意思決定者を合わせる必要がある
      • 要件定義がブレると業務そのものがブレてしまうため重要
    • (2)収集 - ソース選択とデータ収集
    • (3)分析 - データからインテリジェンスへの変換
    • (4)作成 - アウトプットの作成
    • (5)配布 - 評価とフィードバック
  • まとめ:サイバーインテリジェンス活用のススメ
    • 経営戦略における様々なリスクの分析  →  意思決定への支援
    • 多くの脆弱性情報から本当に必要なものの優先度付け
    • 見えていない脅威への気付き、など
    • 総じて
      • 水際の対策ではなく、情報に価値に与え、プロアクティブな対策をとる
      • 予算・リソースの適正化(エンジニアがエンジニアの仕事に徹することができる環境を作る

事例:インテリジェンス運用の実例

  • 企業情報
    • 国内外に 50 のグループ会社
    • セキュリティチームは当時 4 名
    • 脆弱性検査や NW 監視、SOC などを運用
    • アプライアンス製品を多く活用
  • きっかけ
    • ダークウェブ上に会社情報が漏洩しているどうかを監視するように経営者より指示
  • 導入プロセス
    • 経営者の要望を把握、現場の情報洗い出し、どのような分析が必要か、アウトプットイメージ
    • リクワイアメントと分析
    • 週 1 回の打ち合わせを約 1 ヶ月 〜 2 ヶ月
    • 運用開始後、半年間サイクルを回す
  • 現時点で活用しているインテリジェンス
    • ダークウェブ上のモニタリング
      • 認証情報、提供サービスのフィッシングキャンペーン、同業他社への攻撃、使用しているサードパーティへの攻撃、など
    • OSINT の活用
      • 国内外の大きなサイバーインシデント
      • 脆弱性情報についてインターネット、SNS で収集できる追加情報
    • 経営者に対して、月例報告書を提出  →  株主に対しての説明責任の向上
    • チーム内でのセキュリティ感度向上、追加施策・パッチマネジメントの検討材料として利用
  • これからの施策
    • SOC 連携の強化
      • 自社内で SOC を運用できるように
    • OSINT での収集強化
  • 課題
    • 情報過多に対する統制・ハンドリング
    • 現行システムのインテグレーション
    • 分析する人的リソース不足
  • 予算感と必要な人的リソース
    • 情報収集のみの場合、海外のサービスに頼ることにより高額
    • 分析や TIP の導入も含めるとより高額
    • アナリストは兼務でもよいが 2 名いた方がよい
      • SOC などの技術よりの人と、経営陣へのレポーティングができる人
  • 所感
    • 企業への攻撃は多岐に渡るようになってきた
    • ソーシャルエンジニアリング、人間の心理をつく詐欺的な手法もある
    • リスクの可視化し、経営陣がそれらを把握することが重要
    • 海外ではすでにインテリジェンスの取り組みは当たり前

サービス紹介

  • Flashpoint
  • Silobreaker
  • reGemini
  • Anomali
  • Recorded Future
  • マキナレコード提供サービス
    • インテリジェンスコンサルティング
    • インテリジェンスマネージドサービス
    • サイバーインテリジェンス基礎トレーニング

さいごに

海外では当たり前になっているとのことであり、今後日本でも普及する取り組みになることが分かるセッションでした。また、実際の事例を知ることができるのが良かったです。