TokyoBlackHatNews

csoonline.com 13分で読了

フィードからフローへ:統合リンケージモデルを用いた脅威インテリジェンスの運用

脅威インテリジェンスは、フィードを追いかけるのをやめてフローをマッピングし始めたときに初めて役に立つようになる — ULM は攻撃が実際にどのように動くかを示し、CISO が明確さをもって行動できるようにする。

問題:ダイナミックな世界における静的インテリジェンス

あらゆる CISO は、現代の脅威インテリジェンスに伴う疲弊を知っている。ベンダーのフィードが毎日のように何十本も流れ込んでくる — STIX パッケージ、IP ブロックリスト、ドメインインジケーター、マルウェアハッシュ — いずれも自社組織が一歩先を行くために役立つと主張している。

しかし、ほとんどの脅威フィードはいまだに「悪いもののスプレッドシート」のように振る舞う。彼らは何を監視すべきかは教えてくれるが、なぜそれが重要なのか、あるいはそれが自社環境の中をどのように動くのかは教えてくれない。

その結果として「豊富さのパラドックス」が生じる。CISO はこれまでになく多くのデータを持っている一方で、運用上の明確さは低下している。アナリストたちは、コンテキストやミッションとの関連性から切り離されたインジケーターの洪水に圧倒されている。

各フィードは潜在的な脅威のスナップショットを表しているが、その脅威が企業内の関係性をどのような動的な経路で悪用しうるのかは捉えていない。

従来のインテリジェンス製品は個々のアーティファクトを記述する。一方、現実世界の攻撃は、ユーザーとクラウドサービス間、サプライチェーンベンダーとデータリポジトリ間、ID プロバイダーと DevOps パイプライン間といったリンクを悪用する。

脅威フィードから脅威フローへのシフトには、そうしたリンクを記述し、その信頼性を定量化し、脅威が実際にどのように移動するかに基づいてリスクに優先順位を付けられるモデルが必要となる。

そこで登場するのが、統合リンケージモデル(Unified Linkage Model:ULM)である。

リゾマ的ネットワークと現代の攻撃対象領域

古典的なネットワーク防御モデルは、階層的なシステムを前提としている — 中核にサーバー、周縁にクライアント、その間には明確な境界があるという想定だ。しかし、デジタル企業はもはや木構造のようには見えない。むしろ、横方向かつ再帰的な接続から成る生きたシステム、すなわちリゾームのように振る舞っている。

リゾマ的ネットワークという用語は、ドゥルーズとガタリの『千のプラトー に由来し、この文脈でも別途論じられているが、API、共有アイデンティティレイヤー、マルチクラウドインフラなどを通じて、どのノードも直接的または間接的にほぼあらゆる他のノードと接続しうるネットワークを指す。このような環境では、ルート(根)は恒久的なものではなくなり、トポロジーは予測しづらくなる。この景観の中では、依存関係は動的に生じ、関係性はドキュメントが追いつけない速度で進化する。階層からリゾームへのこのシフトは、脅威の伝播のされ方に関する我々の理解を変える。ある SaaS テナントの侵害が、隣接するクラウドアカウント、CI/CD パイプライン、共有 ID プロバイダーへと、驚くべき速さで横方向に波及しうるのだ。

攻撃者はもはや静的な境界を悪用しているわけではない — 彼らが武器化しているのは関係性である。

ULM は、このカオスを可視化するための構造化された手段を提供する。隣接性、継承、信頼性という 3 つの中核的なリンケージタイプをマッピングすることで、ULM はリスクが複雑なエコシステムをリゾマ的にどのように移動するかを明らかにする。これにより、現代のネットワークのもつ絡み合いを定量化可能なものへと変換し、CISO が静的な露出ではなく伝播について合理的に考えられるようにする。

統合リンケージモデル(ULM)

ULM は当初、サイバーリスクが相互依存するシステムをどのように伝播するかを記述するために考案された — 単なるアセットや脆弱性ではなく、関係性によってである。ネットワークを線形の階層として見るのではなく、ULM はそれらを、リスクが 3 つの主要なリンケージタイプに沿って流れる生態系として捉える。

  1. 隣接リンケージ(Adjacency linkages):ネットワークセグメント、API、共有インフラなど、システム間の近接性や共有インターフェース。
  2. 継承リンケージ(Inheritance linkages):ビルドパイプライン内の侵害されたライブラリや、継承された IAM ポリシーなどの依存関係や構成フロー。
  3. 信頼性リンケージ(Trustworthiness linkages)ベンダーアクセス、フェデレーション ID、サービス間トークンなどの人的または契約上の関係。

各リンケージは潜在的な悪用経路を表す。個々の脅威アーティファクトを孤立して扱うのではなく、ULM はそれらのアーティファクトがどのようにつながっているかをマッピングし、攻撃者が初期侵害ポイントから最終ターゲットへと、隣接性、継承、信頼を通じてどのように横断しうるかを示す。

このコンセプトは、脅威インテリジェンスを収集から接続へと再定義する。ULM の視点では、組織の環境は単なるアセットの一覧ではなく、相互作用のグラフである。脅威は孤立したインシデントではなく、リンケージを横断して流れるものだ。

フィードからフローへ:生きた脅威グラフの構築

フィッシングキャンペーンに関連する悪意ある IP アドレスを報告するフィードを受信したと想像してほしい。多くの SOC では、そのインジケーターは SIEM のルールやファイアウォールのブロックリストに登録される — 防御のための一回限りのトランザクションだ。インテリジェンスはそこで止まってしまう。

ここで ULM 的な考え方を適用してみる:

  • その悪意ある IP は、侵害されたサードパーティのマーケティングツールに関連付けられている。
  • そのツールには、自社のマーケティングオートメーションシステムに埋め込まれた API キーがある。
  • そのオートメーションプラットフォームは、自社のコーポレート CRM と接続する OAuth トークンを使用している。
  • その CRM は、自社のクラウド ID プロバイダーと統合されている。

各リンケージは、脅威フローの一部を形成する — ポートやプロトコルだけでなく、ビジネスプロセスを横断して横方向に移動する、連結した潜在的悪用チェーンである。

リンケージをマッピングすることで、CISO は「悪意ある IP」が孤立したデータポイントではないことを理解できる。それは、顧客データ、認証情報、ID インフラにまで及ぶ多段階フローにおける、最初の観測点なのだ。

脅威インテリジェンスがリストではなくリンケージとして構造化されると、アナリストは次のことが可能になる:

  • より迅速な相関:フィードをまたいだ共有インフラや行動パターンを特定する。
  • より適切な優先順位付け:高価値または高信頼のリンケージと交差する脅威にフォーカスする。
  • より早期の予測:隣接または継承された依存関係をモデリングすることで伝播を予測する。

言い換えれば、脅威フィードは脅威フローになる — 方向性、モメンタム、結果を伴うインテリジェンスである。

脅威インテリジェンスパイプラインにおける ULM の運用

1. 取り込みと正規化

ULM は、商用、オープンソース、政府、内部テレメトリなど、多様な脅威フィードの取り込みから始まる。各アーティファクト(IP、ドメイン、ハッシュ、戦術やテクニック)はリンケージモデル内のノードとなり、MITRE ATT&CK テクニック、タイムスタンプ、信頼度スコアなどのメタデータで強化される。

2. リンケージの確立

システムは複数の基準を用いてノード間の関係を特定する:

  • 隣接性:共有 IP レンジ、ASN やクラウドホスティング、共有ライブラリや API キー。
  • 継承:サプライチェーンの依存関係、ビルドシステムコンポーネント、構成ドリフト。
  • 信頼性:認証情報の共有、フェデレーション SSO 接続、ベンダー契約、既知の信頼関係。

リンケージには、グラフにおける重み付けに類似した強度と方向性のスコアが付与され、侵害がシステム全体にどのように連鎖しうるかを示す脅威リンケージグラフが生成される。

3. MITRE ATT&CK、TIP、FAIR との統合

ULM は、MITRE ATT&CK のテクニックレベルのデータと自然に整合する。各リンケージには、Initial Access から Impact まで、それが可能にする ATT&CK の戦術を注釈として付与できる。MISP や ThreatConnect などの Threat Intelligence Platform(TIP)との統合により、新たなインジケーターが出現するたびに ULM グラフを動的に更新できる。

以前は無害と見なされていたリンケージも、新たに悪意あるノードと接続された瞬間に高リスクとなり、静的なインテリジェンスを生きた運用マップへと変える。

同様に、ULM は FAIR や FAIR-CAM のような定量的リスクフレームワークと橋渡しを行い、リンケージのダイナミクスを損失事象モデリングに組み込むことで、損失の大きさだけでなく、損失がどの経路を通じて伝播しうるかについてもリスク評価を可能にする。

4. 脅威フローの可視化

可視化は鍵である。そして、AI/ML モデルやクラウドベースリソースが台頭する環境においては、この可視化が実現可能になっている。ULM を用いることで、CISO は攻撃経路をスプレッドシートではなくフローダイアグラムとして見ることができる。

例えば:

侵害されたサプライヤーの GitHub リポジトリへの接続(継承リンケージ)

→ 共有コンテナイメージへのコード注入(隣接リンケージ)

→ それが自動化されたパイプラインを通じて本番環境にデプロイされる(信頼リンケージ)。

このような可視化により、コード署名の強制やアイデンティティのセグメンテーションといった単一のコントロールで、複数のフローパスを一度に断ち切れるボトルネックが明らかになる。

インテリジェンスと認可をつなぐ架け橋としての ULM

エンタープライズセキュリティにおける長年のフラストレーションの 1 つは、インテリジェンスとガバナンスの分断である。脅威フィードは SOC に情報を提供し、NIST SP 800-37 Rev. 2、ISO/IEC 27001:2022、CMMC 2.0 モデルのようなフレームワークはコンプライアンスを統制する。この 2 つが交わることはほとんどない。

ULM はその間をつなぐ結合組織を提供する。

ULM はシステム間の関係性を形式化するため、リスクマネジメントフレームワークに直接フィードできる:

  • NIST RMF ステップ 1–2(分類/コントロール選定):ULM を用いて、侵害時に最も高い伝播ポテンシャルを持つ、リンケージ密度の高い領域を特定する。
  • ステップ 3–4(実装/評価):認証境界、コード継承チェーン、ベンダーアクセスなど、主要なリンケージ上にコントロールが存在することを検証する。
  • ステップ 6(監視):新たな脅威インテリジェンスでリンケージを継続的に更新し、継続的モニタリングを継続的リンケージ検証へと変える。

コンプライアンスの文脈では、リンケージ密度、信頼性スコア、隣接性エクスポージャーといった ULM メトリクスが、CMMC の成熟度、ISO 27001 のリスクリスト、ゼロトラストアーキテクチャ(SP 800-207)のポリシーエンフォースメントに対する測定可能なインプットとなる。

したがって、脅威フローは単なる技術的な可視化ではなく、デューデリジェンスの監査可能な成果物でもある。

ゼロトラストとフローの視点

ゼロトラストアーキテクチャ(ZTA)は、NIST SP 800-207 において定式化されているように、「決して信頼せず、常に検証する」と要約されることが多い。ULM は、何を検証すべきか、そしてどこに実際の信頼が存在するのかを示すことで、これにニュアンスを加える。ゼロトラスト設計におけるあらゆる信頼境界は、ULM における 1 つ以上のリンケージに対応する:

  • ID プロバイダーを通じて認証するユーザー — 信頼性リンケージ。
  • API を介して別のマイクロサービスを呼び出すマイクロサービス — 隣接リンケージ。
  • サードパーティリポジトリから取得するソフトウェアアップデートパイプライン — 継承リンケージ。

脅威インテリジェンスがこれらのリンケージにマッピングされると、CISO はどの信頼パスがリアルタイムでアクティブな脅威にさらされているかを可視化できる。

ゼロトラストを静的なセグメンテーションマップとして扱うのではなく、ULM は脅威フローデータによって継続的に更新される動的な信頼モデルを可能にする。

このアプローチは、ゼロトラストをアーキテクチャ上の目標から運用上のフィードバックシステムへと変換する。各リンケージは、アクセス制御ポリシーだけでなく、アクティブな脅威フローに対しても検証される。

CISO のユースケース:リンケージインパクトによる優先順位付け

次の 2 つのアラートが同時に発生したとする:

  1. 財務部門を標的としたフィッシングドメイン。
  2. DevOps 連携における侵害された API キー。

どちらも重要に見えるが、どちらを即時対応の対象とすべきだろうか?

従来のフィードベースのアプローチでは、両者は同等に扱われるかもしれない。ULM の視点では、API キーが高信頼かつ高継承のリンケージ上に位置していることがすぐに分かる — それはビルドシステムを本番コンテナに接続し、そのコンテナは顧客データストアと隣接している。

一方、フィッシングドメインは、強固なコントロールが施された孤立したユーザーの受信トレイへとつながるに過ぎない。リンケージの重みを定量化することで、CISO は DevOps の侵害を優先できる。なぜなら、そのフローポテンシャル — すなわち、あるシステムから別のシステムへと移動しうる能力 — がはるかに高いからだ。これは単なる脆弱性管理ではなく、攻撃経路に基づく優先順位付けである。あらゆるインジケーターを追いかけるのではなく、意味のあるフローにフォーカスするという違いだ。

フローベース防御に向けて

セキュリティチームはしばしば、自らの態勢を境界、バウンダリ、エンドポイント、あるいはコントロールといった観点で語る。しかし、攻撃者はボックスではなくフローで考える。彼らが悪用するのは、忘れ去られたトラストトークン、監視されていない CI/CD の引き継ぎ、共有された SaaS 認証情報といった結合組織である。

ULM は、防御側の分析的厳密さを維持しつつ、攻撃者のように考え、行動するための手段を提供する。リンケージをモデリングすることで、CISO は次のことができる:

  • 攻撃対象領域を可視化:存在するアセットだけでなく、それらがどのように相互に関連しているかを理解する。
  • 伝播リスクを定量化:侵害がどれだけ速く、どこまで広がりうるかを測定する。
  • 脅威インテリジェンスを運用化:動的なリンケージ更新を監視および対応プレイブックに取り込む。
  • インテリジェンスとコンプライアンスの整合:リスクがコンテキストの中で理解されていることを監査人や取締役会に示す。

実務上、ULM の導入に既存ツールの置き換えは必要ない。多くの組織はすでに、ネットワークマップ、アイデンティティグラフ、脆弱性スキャナー、脅威フィードといったデータを保有している。

ULM はそれらをリンケージフレームワークに統合し、サイロ化されたアウトプットを一貫したリスクストーリーへと変換する。

CISO への行動喚起

何十年もの間、我々はログ、インジケーター、フィードを「収集」するよう訓練されてきた。サイバーセキュリティの次の時代に必要なのは、要素同士がどのように相互作用し、継承し、伝播するかという「接続」の理解である。

リンケージ思考を採用することで、CISO は脅威インテリジェンスをリアクティブから予測的なものへと高めることができる。ULM は、静的データと動的防御との間をつなぐ分析的な橋を提供し、脅威を孤立したアラートではなく、デジタルエコシステムを移動する意図のフローとして捉えられるようにする。

メッセージはシンプルだが強力である:

脅威フィードを読むだけで終わるのはやめよう。

脅威フローをマッピングし始めよう。

それこそが、リゾマ的で相互接続されたシステムの時代において脅威インテリジェンスを運用化する方法であり、CISO がようやく、単にリアクションするのではなく「行動する」ための可視性を獲得する方法である。

詳細は、私のオリジナルの研究論文  Unified Linkage Models: Recontextualizing Cybersecurity(United States Cybersecurity 誌)で確認できる。

本記事は Foundry Expert Contributor Network の一部として公開されています。
参加をご希望ですか?

翻訳元: https://www.csoonline.com/article/4100422/from-feeds-to-flows-using-a-unified-linkage-model-to-operationalize-threat-intelligence.html

ソース: csoonline.com
#CISO戦略と意思決定 #FAIR・FAIR-CAMによるリスク定量化 #MITRE ATT&CK連携 #サイバー脅威インテリジェンス #サプライチェーンとCI/CDセキュリティ #ゼロトラストアーキテクチャ #ユニファイド・リンケージ・モデル(ULM) #リスク伝播と攻撃パス分析 #脅威フィードから脅威フローへ #関係性ベースのセキュリティモデル

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活