サイバー脅威の激化と運用の複雑化が進む時代において、脅威インテリジェンスチームは前例のない課題に直面しています。重要な国家インフラを狙うランサムウェアから、アナリストを圧倒するアラート疲れまで、セキュリティリーダーは脅威の状況を理解し、自組織を守るための新たなアプローチを模索しています。
EclecticIQ マーケティング責任者のアンドリュー・ミルンはこのほど、脅威インテリジェンス運用で約20年の経験を持つサイバーセキュリティのベテラン、ジェレミー・ニコルズ氏と対談し、業界の現状と、サイバー防御側にとって実際に大きな違いを生むソリューションについて見解を聞きました。
現在の脅威状況
Andrew: ジェレミー、本日はご参加ありがとうございます。20年にわたるご経験を踏まえ、いまセキュリティチームが最も頭を悩ませていることは何でしょうか?
Jeremy: ランサムウェアは、組織が直面している最大級の脅威の一つです。ランサムウェアの運用者は標的をほとんど選ばず、世界中のさまざまなセクターで被害が発生しています。製造、建設、小売、金融の領域で被害者が継続的に見られますし、ここ数年観察してきたところでは、これらの攻撃はますます高度化しています。
侵入手段としてゼロデイが使われるケースも見られるため、パッチ管理は常に重要です。これは10年前から「企業はまだ遅れている」と言われてきた主要領域の一つですが、いまも同じ状況が続いています。私の経験では、脅威の進化と防御能力の間にあるこの恒常的なギャップこそが、組織にとって本当に大きな課題になっています。
Andrew: 効果的な脅威インテリジェンスは、こうした攻撃への備えや対応にどのように役立つのでしょうか?
Jeremy: ここで重要になるのが、インテリジェンスを文脈化することです。ランサムウェアの脅威が存在することを知っているだけでは不十分で、チームは「自社の業界を狙う具体的なランサムウェアのファミリーは何か」「類似組織に対してどの攻撃ベクトルが使われているのか」「防御策の優先順位をどう付けるべきか」を理解する必要があります。さまざまなセクターでの経験から言うと、最も良い成果を出す組織は、脅威インテリジェンスを自社の資産インベントリと事業上の優先事項に素早く結び付けられる組織です。
運用上の課題と根本原因
Andrew: 外部からの脅威以外に、チームが内部で抱えている運用上の課題にはどのようなものがありますか?
Jeremy: いまチームが直面している最大の課題の一つは、ツールが多すぎ、インテリジェンスが多すぎ、やるべきことが多すぎることです。多くの組織では、チームが複数の役割を兼務していたり、単純に追いつけなかったりします。アラート疲れに陥っているか、あるいは圧倒されてしまっているのです。
私の経験では、防御側にツールが足りないわけではありません。足りないのは、対応するための時間、明確さ、そして文脈です。最も難しいのは、どんな脅威が存在するかを特定することではなく、「どれが自組織にとって重要なのか」を知ることです。これは、私が関わってきたあらゆる種類の組織で見てきたことです。
Andrew: その「文脈」の課題は、実務ではどのように現れるのでしょうか?
Jeremy: 単にどんな脅威があるかを理解するだけではありません。フィードを取り込み、インテリジェンスを消費すること自体はとても簡単です。本当に重要なのは、その情報を自分にとって実際に価値あるものにするために文脈化することです。つまり、取り込んでいる情報が自社のビジネスと資産に適用可能であることを担保することです。長年の経験から、ここが多くの組織にとって最も苦戦するポイントだと学びました。
解決アプローチ
Andrew: では、文脈が最大の課題だとすると、スピードと効率を維持しながら、組織はどのようにそれを解決すればよいのでしょうか?
Jeremy: いまのチームにとって最も重要なことの一つは、自動化できる能力、そしてインテリジェンスを非常に迅速に運用へ落とし込める能力です。EclecticIQのような企業は、自動エンリッチメントによってそれを可能にします。アナリストがインテリジェンスを見始める時点で、すでにエンリッチされ、分類され、タグ付けされているのです。これにより、アナリストがそのインテリジェンスに基づいて意思決定するスピードが上がります。
優先インテリジェンス要件に合わせてディスカバリーキューを活用し、自分たちが重視するもの、つまり事業目標に合致するインテリジェンスを取り込める能力は、運用を合理化するうえで絶対に重要です。私のキャリアを通じて分かったのは、この優先順位付けの能力が、効果的なプログラムと苦戦するプログラムを分けるということです。
Andrew: 実務の観点から、アナリストの日々の運用ではどのような形になるのでしょうか?
Jeremy: プラットフォーム自体がフィードを取り込み、エンリッチメントを行う「単一の画面(single pane of glass)」として機能することで、アナリストは自分が取り組むべき個別領域に集中できます。異なるツール間を行き来したり、さらにエンリッチするために手動ツールを回したりする必要がなくなります。そうしたことはすべて事前に行われます。
たとえばEclecticIQは、STIXやMITRE ATT&CKといった業界標準に非常に密接に整合しています。これらは脅威インテリジェンスを体系化するうえで重要であり、さまざまなプラットフォームでの経験から言うと、この標準への整合は長期的なスケーラビリティに大きな違いをもたらします。
パートナーシップのアプローチ
Andrew: EclecticIQと一緒に仕事をされたとのことですが、一般的なベンダーとの関係と比べて何が違いましたか?
Jeremy: EclecticIQとの仕事が違ったのは、単にベンダーからツールを購入するということではなく、本当にパートナーシップだった点です。私たちの事業目標を設定し、それをプラットフォーム上でどう実現する必要があるかを明確にし、同じ目標に整合し同じ成果を出せるようにするために、チームから必要な支援を得られたことが重要でした。
それにより、ユースケースを非常に迅速に実装でき、変更が必要なときにも対応でき、利害関係者の多様なニーズに本当に応えられるようになりました。EclecticIQのカスタマイズ、自動化、相関はチームの効率にとって極めて重要であり、さらに、入ってくるインテリジェンスが最初から自動的にエンリッチされることを確実にします。
今後の展望
Andrew: 今後を見据えて、ご経験に基づき、脅威インテリジェンス運用を形作る主要トレンドは何だとお考えですか?
Jeremy: 脅威の状況は、今後さらに複雑になる一方です。先ほど話したゼロデイのような手法を使って攻撃者はより高度化しており、インテリジェンスの量も指数関数的に増え続けています。チームには、この規模に対応できるだけでなく、実際に意味のある形に整理できるプラットフォームが必要になります。
私の経験では、成功する組織は、昨日の手作業のプロセスで明日の問題を解決しようとするのではなく、いま自動化と文脈分析に投資する組織です。特に期待しているのは、AIと機械学習が、私たちが話してきた文脈化の課題を支援できる可能性です。単に何が起きているかだけでなく、自分たちの特定の環境にとって何が重要なのかをアナリストが理解できるようにすることです。
Andrew: 現在の脅威インテリジェンス能力を評価しているセキュリティリーダーに、最後にアドバイスはありますか?
Jeremy: 完璧な解決策を待たないでください。まずは現在の痛点とワークフローを理解することから始めましょう。私が見る最大の失敗は、具体的で測定可能な問題を先に解決するのではなく、すべてを一度に解決しようとすることです。いま最も手作業の負担が大きいところに焦点を当て、これは一度きりの導入プロジェクトではなく継続的な取り組みであることを理解しているベンダーとのパートナーシップを探してください。この分野で20年やってきて学んだのは、最も成功するプログラムは、強固なベンダーパートナーシップに支えられながら、その進化とともに継続的に成熟していくということです。
Andrew: ジェレミー、これらの洞察を共有していただきありがとうございます。現在の課題と、脅威インテリジェンスの今後に備えるうえで、非常に価値のある視点でした。
ジェレミー・ニコルズは、脅威インテリジェンスおよびセキュリティ運用で約20年の経験を持つ独立系サイバーセキュリティ専門家です。
翻訳元: https://blog.eclecticiq.com/customer-spotlight-insights-from-a-threat-intelligence-veteran
