脅威インテリジェンスの共有

脅威インテリジェンスの共有

サイバーセキュリティの秘密兵器

誰が脅威インテリジェンスの共有を進めているか?

脅威インテリジェンスの価値を引き出す方法はさまざまで、完全な脅威インテリジェンスプラットフォームを利用する、脅威フィードを取り入れる、または一般的なセキュリティツールに搭載された脅威インテリジェンス機能を使用するといった方法があります。その中でも脅威インテリジェンスが活用されていないのが、この情報を他のグループと共有することにより、イベントへの応答時間を短縮し、予防措置を確立するという手法です。

業種中心のイニシアチブや政府主導のイニシアチブにより、官民や業種の垣根を超えた脅威インテリジェンスの共有が飛躍的に進みました。右にその一部をご紹介しています。

脅威インテリジェンスの共有の形態

脅威インテリジェンスの共有には次の 2 つの形態があり、情報を共有する組織によって規定されています。

脅威インテリジェンスの一方向の共有 :一方の組織が脅威インテリジェンスを生成して共有し、もう一方は、それを利用はしますがインテリジェンスに貢献することはありません。一方向の共有には、次のようなものがあります。

  • オープンソースのインテリジェンス。オープンソースの脅威インテリジェンスフィードを取り入れたり、最近の攻撃について ICO や手法をまとめた公開レポートをダウンロードしたりすることで生成されます。
  • クローズドソースのレポートとフィード

脅威インテリジェンスの双方向の共有 :送信されたインテリジェンスは利用できるだけでなく、メンバー組織が取り込むこともできます。これらのプログラムでは共有が許可され、推奨されてもいますが、各組織が何を共有するかは保証されていません。

Sharing with Analysts

脅威インテリジェンスの共有にまつわる懸念

脅威インテリジェンスの価値は明らかですが、組織がその共有に及び腰になるのはいくつかの共通した懸念があるためです。
  • プライバシーと責任に関する懸念 :このような懸念は、インテリジェンスの共有に関するより正確な認識や、契約書の保護条項、最近の法規制、共有する情報に関する配慮によって解消できます。
    • どのような形態で共有する場合でも、共有する前にデータの確認を実施し個人情報や会社の機密情報が含まれていないか精査することが推奨されます。
    • The 2015 年 サイバーセキュリティ情報共有法 (CISA)には、プライバシーと責任に関連する懸念に対処する規定があります。それらの保護規定の一部は、特定の条項を満たすことを条件としています。個別の状況に CISA がどう適用されるのかを把握するためには、適切な法的助言を求めることを強く推奨します。
  • 「貢献する価値のある情報が何もない」 :1 つの組織があらゆる攻撃を受けることはありません。取るに足らないと思われる情報でも、共有することで可視性の向上につながり、より情報源の広いインテリジェンス分析に貢献できます。
  • 経験不足 :たとえ自分自身が熟練のプロフェッショナルではなくても、経験のある人員がコンテキストを追加し、攻撃に関する詳細を観察し、可能であれば分析を構築することで、コミュニティにとって少なからずメリットがあります。
  • 組織がハッキング被害を受けたことを知られることへの恐れ :絶対に知る必要がある範囲を超えて侵害の詳細が共有されることに恐れを感じるのは一般的なことですが、ベストプラクティスに従って共有することで懸念を軽減できます。

脅威インテリジェンスの共有を始めるためのステップ

すでにインテリジェンスを積極的に共有している組織も、まだ着手していない組織も、こちらのアドバイスを参考に、共有に着手したり、すでに実施している共有を拡張したりできます。
  • ツールとコミュニティ :脅威インテリジェンスの共有に適したツールとコミュニティを選定します。次のようなオプションが考えられます。
    • メール。最も簡単に始められます。
    • Anomali STAXX などのツール。STAXX は Anomali が無料提供するソリューションで、STIX/TAXII による IOC の共有をサポートします。
    • ISAC などの業界団体が一般に用意している共有メカニズム。
    • 地域の組織や他業種のパートナーとのアドホックな共有。
    • Anomali ThreatStream ユーザーに提供されている堅牢性の高いソリューション。IOC やその他のインテリジェンスを他の組織と共有することも、独自の共有コミュニティを構築することも可能です。
  • 共有し貢献する :攻撃者の行動に関する観察結果、追加のコンテキスト、検知された攻撃、インシデント対応の詳細などを共有することで、最初の一歩を効果的に踏み出せます。分析を進める中で、最初に共有された情報に付け足す情報が特になかったとしても、気にする必要はありません。
  • 業種外とも共有する :フージョンセンターなどの現地化した組織により、業種外の組織とも共有する機会を模索します。当然ながら、法務部門や弁護士と連携して、組織間の共有に対処する適切な契約書を用意することが重要な要件となります。
  • ハンティングと防御の手法を共有する :より多くの情報を共有できれば、攻撃者に対する防御が強固になります。次のような情報の共有を検討しましょう。
    • 脅威ハンティングの詳細:検索、特定のログデータなど
    • 成功した防御手法やルール:YARA ルール、Snort シグネチャ、Bro IDS ルール、スクリプトなど
  • 侵害の詳細を共有する :侵害が発生したら速やかに詳細を発信することで、他の組織が侵害を受けたときに迅速に阻止できるようになり、違いを生み出せます。また、他の組織からリソースが増強されるため、追加のインテリジェンスや、インシデント対応での課題に対する迅速な回答など、さまざまな支援を得られます。

共有を享有しましょう。

Whitepaper

脅威インテリジェンスの共有についてもっと詳しく知りたい場合

ホワイトペーパーをダウンロードして、業種外との共有や的を絞った情報の共有などについて詳細をご確認ください。

今すぐ読む

脅威インテリジェンスの共有に関する詳細

Insights for CISOs: Threat Intelligence | Frost & Sullivan and Anomali
Webinar
Insights for CISOs: Threat Intelligence | Frost & Sullivan and Anomali
Threat Intelligence Sharing: Together Everyone Achieves More
Webinar
Threat Intelligence Sharing: Together Everyone Achieves More
Detect LIVE April 22 — Intelligence Sharing: The Key to Stopping Breaches Is Teaming Up
Webinar
Detect LIVE April 22 — Intelligence Sharing: The Key to Stopping Breaches Is Teaming Up
United We Stand, Divided We Fall: 2019 Threat Landscape and the Influence of Sharing Communities
Webinar
United We Stand, Divided We Fall: 2019 Threat Landscape and the Influence of Sharing Communities