脅威インテリジェンスの協調:共有価値の創造

相乗効果の原則(つまり、「全体は部分の合計より大きい」)は、アリストテレスまでさかのぼり、歴史上数え切れないほどの実例を示してきました。その最も有名な実例の1つは、経営学者で経営者のMichael E. Porterによって書かれた「共有価値の創造」という、2006年のハーバード ビジネス レビューの記事です。

膨大な数の状況で使用されてきた相乗効果と共通の価値観の概念は、脅威インテリジェンスにも十分当てはまります。ほぼ一般的に認められている意見として、価値を最大限に高めるには脅威の知識を共有する必要があります。インテリジェンス情報を蓄積させると、政府や業界は世界中の攻撃者に対抗することができますが、攻撃者の側は、ツール、戦術、関連するデータを共有していることがよくあります。しかし、運用可能な情報共有の必要が認識されているにもかかわらず、このスパイ防止ツールを成功させるのに必要な要素は、関係者間の重要なコミュニケーションを阻む理論上および運用上の議論によって妨害されています。

脅威インテリジェンスとは

脅威インテリジェンスは、次の重要なコンポーネントで構成されます。

 

    • インテリジェンス ソースで通知、アラート、早期警戒インジケーターを監視する

 

  • 組織の脅威プロファイルに関連するインテリジェンスを収集する

 

 

  • 脅威に関与する者とその戦術、技術、処理手順を識別する

 

 

  • 内部および外部の関係者とコミュニケーションを取る

 

 

  • IT組織のエコシステムと統合する

 

 

コミュニケーションがうまくいかないと、サイバーインテリジェンス共有マトリックスの他の重要なコンポーネントが脆弱になります。すべての情報ソースを監視できるわけではないため、関連するすべての情報が収集されるわけではありません。したがって、実在する脅威の実行者が識別段階においては識別されません。この結果、IT組織にとって不適切な情報がエコシステム内に統合され、セキュリティのパフォーマンスが低下します。すべてのデータが共有されているわけではなく、共有されるデータも、一部の受信者に選択的に送信されているだけです。

要約すると、「R3 [readiness, response, and resiliency]の全ライフサイクルに対応できる有意義かつ実用的な関連するインテリジェンスの共有は、引き続き重要課題です。これは、セキュリティ コミュニティ内のインテリジェンス共有とコラボレーション イニシアチブが豊富であっても当てはまります」。幸い、共同の情報共有環境を作成するこれらのイニシアチブが、最終的にいくらか進歩しようとしています。

政府/業界間の協調

政府とテクノロジー業界は、まもなく脅威の情報を蓄積し、そのコレクションと展開において相乗効果を活用する可能性があります。政府/業界間の協調も業界間の協調も発展途上であり、さらなる協調の拡大が引き続き最優先事項です。

Cyber Intelligence Sharing and Protection Act(サイバー インテリジェンス共有/保護法)は、当初2011年に議会に提出され、最初は失敗に終わりましたが、その後毎年(2015年1月など)形を変えながらよみがえってきました。この法案は依然として未成立です。2015年2月、バラク・オバマ大統領は、国家情報長官にCTIIC(Cyber Threat Intelligence Integration Center)の設置を求める大統領命令に署名しました。ホワイト ハウスのプレス リリースによると、CTIICの主要な目的は「国家に対する国外からの悪質なサイバー脅威と米国の国益に影響を与えるサイバー インシデントに関する全容を明らかにすることと、米国の政策立案者に対する脅威のオール ソース アナリシスを提供すること」です。

CTIICの進展はあまり見られていません。その権限の範囲が検討中のためです。この法案は下院を通過しましたが、上院は法案からサイバー脅威共有法案を削除する国防権限法をめぐってホワイト ハウスと対立してきました。CTIICは、サイバー インテリジェンス共有ネットワークの政府のみが関与する部分であり、国家サイバー合同捜査本部も含まれています。この組織の任務には、業界、民間企業、および民間企業も参加するNCCIC(National Cybersecurity and Communications Integration Center)との広範なパートナー関係を維持することが含まれています。CTIICは、政府資源の不足を補い、すばやい協調を促すことが期待されています。したがって、その資金は政府/業界間の情報共有分野全体にとってきわめて重要です。

2月のCTIIC大統領命令からすぐ、エキスパートたちはそのような政府/業界間の情報共有イニシアチブが機能するかどうかについて疑問を投げかけていました。実際、脅威データの共有に関しては、「私がするとおりではなく、言うとおりにしなさい」という暗黙の雰囲気が浸透しているように見えました。「CIO Today」が報告しているように、情報ベンダーや他のテクノロジー コミュニティは圧倒的多数で共有に賛成していると言っているにもかかわらず、「Infosecurity Magazine」によると、情報ベンダーは「より広範なコミュニティに損害を与えないよう」その情報を用心深く保護しています。

業界間の共有

政府によるこのような企みの前、またはその最中に形成された広範な私益団体アライアンスが、脅威情報の共有を増やすことを目指しています。National Council of Information Sharing and Analysis Centersなど、一部のアライアンスは、標準化を通じて「実用的で関連性の高い正確な情報をユーザーに提供する」ことを目標としています。これらの標準には、脅威情報共有の言語である脅威情報構造化記述形式(Structured Threat Information Expression)と、共通の転送プロトコルである検知指標情報自動交換手順(Trusted Automated Exchange of Indicator Information)などがあります。これらはどちらも、2月のCTIIC大統領命令に関する大量の報道の最中、大々的に議論されました。

しかし、このような進捗の兆候にもかかわらず、Security Weekで報告されたEnterprise Strategy Groupの調査では、300を超える調査対象ITプロフェッショナルのうち、社内で推進された脅威インテリジェンスを実際に他の企業やInformation Sharing and Analysis Centerと共有していたのはわずか37%であることがわかりました。この共有の割合を、Symantecによる調査で、情報の共有があれば攻撃を防ぐことができたと述べた回答者が80%であったことと対比してください。消極的な話になりますが、これらの数字は、協調的なリスク インテリジェンス環境に関する避けることのできない生みの苦しみの証拠に他ならないのかもしれません。情報セキュリティ コミュニティは、共有の価値を創造し、互いに協力しながら、部分の合計よりも大きな全体としての脅威インテリジェンスを作り上げることができれば、得られるものが多いことを認識しています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

No Comments