TokyoBlackHatNews

breached.company 13分で読了

ブリーフィング:サイバー脅威インテリジェンス能力成熟度モデル(CTI-CMM)

エグゼクティブサマリー

サイバー脅威インテリジェンス能力成熟度モデル(CTI-CMM)バージョン1.3は、組織がCTIプログラムを構築し、測定し、成熟させることを支援するために設計された、業界主導・ベンダーニュートラルなフレームワークです。その中核となる思想はステークホルダーファーストのアプローチであり、支援対象となる事業部門に対してCTIプログラムが実証可能な価値を提供できるかどうかで成功を定義します。本モデルは、リスク管理やインシデント対応といった一般的な組織機能を表す11の独立したドメインで構成され、4つの成熟度レベル(CTI0〜CTI3)で能力を測定します。

成熟度レベルの進展は、反応的で場当たり的な実践(基礎)から、能動的で標準化され自動化されたプロセス(高度)へ、さらに長期的価値を生み出す、ビジネスに整合した処方的戦略(リーディング)へと移行していくことによって特徴づけられます。この進展を示す重要な指標の一つがメトリクスの進化であり、基本的な努力量(例:レポート数)を測る段階から、影響(例:検知時間の短縮)を定量化する段階へ、最終的には戦略的な成果(例:精査済み資産取得におけるリスク低減)を示す段階へと移っていきます。

実装は、準備、評価、計画、展開、測定という継続的な5ステップの循環プロセスに従います。このライフサイクルは、明確なステークホルダー関与、4段階尺度を用いた批判的な自己評価、そしてデータに基づく計画立案を重視します。正確性を担保するため、本モデルは評価時に批判的な姿勢を推奨しており、とりわけ「低いスコアルール」—迷った場合は低い成熟度レベルを選ぶ—により、改善領域を現実的に特定できるようにします。CTI-CMMは、CTI能力を組織目標に整合させるための包括的なロードマップを提供し、インテリジェンス機能とビジネスステークホルダーの間のギャップを埋め、よりレジリエントで脅威に基づく意思決定が可能な企業の実現を促進します。

——————————————————————————–

CTI-CMMのフレームワークと中核概念

サイバー脅威インテリジェンス能力成熟度モデル(CTI-CMM)は、組織がCTIプログラムを確立し、洗練させ、その有効性を測定するための構造化されたフレームワークを提供します。業界の協働により開発され、米国エネルギー省のC2M2など既存のフレームワークに着想を得ており、主目的はCTI能力を特定のビジネスステークホルダーのニーズに整合させ、影響力があり実証可能な価値を創出することです。

刊行情報:

  • タイトル: Cyber Threat Intelligence Capability Maturity Model
  • バージョン: 1.3
  • 日付: © 2024 – 2026
  • モットー: 「Industry Inspired. Industry Led.」

本モデルはCTIを、能動的防御の「目と耳」と定義し、意思決定者に武器を与え、組織リスクを低減するために、敵対者の能力、意図、TTP(戦術・技術・手順)を理解することに焦点を当てた規律であるとしています。

中核原則と構造

CTI-CMMは、次のような共通の価値観と原則に基づいて構築されています:

  • 協働: インテリジェンスは、ステークホルダーの意思決定を支援することで価値を提供します。
  • 継続的改善: インテリジェンスは決して完成しないため、継続的な改善が不可欠です。
  • 実行可能性: インテリジェンスは実行可能であり、ステークホルダーのニーズに基づいていなければなりません。
  • 測定: 有効性と影響は、定量・定性の両面で測定されなければなりません。

本モデルは、ドメイン、成熟度レベル、そして戦略・運用・戦術インテリジェンスの区別という、3つの主要な構造要素で構成されています。

11のCTIドメイン

本フレームワークは11のドメインで構成され、それぞれがCTIが支援する主要な事業部門または機能を表します。各ドメインについて、本モデルは「ドメイン目的」と、それに対応する「CTIミッション」を定め、インテリジェンスがその機能にどのように貢献するかを示します。

ドメイン

略称

CTIミッション

資産・変更・構成管理

ASSET

組織のアタックサーフェスを監視し、リスクのある資産を迅速に検知し、現在および予測される脅威ランドスケープに基づいて露出を低減する。

脅威および脆弱性管理

THREAT

関連する進化する脅威ランドスケープに関する包括的かつ最新の知識を維持し、新規および新興の敵対者、マルウェア、脆弱性、エクスプロイトに対するリスクを低減する。

リスク管理

RISK

CTIを組織のリスク管理戦略に整合させ、リスク低減の取り組みの情報提供と優先順位付けを行い、発生可能性と潜在的影響の評価を改善する。

アイデンティティおよびアクセス管理

ACCESS

IAM戦略に先回りして情報を提供し、インシデント検知時間を短縮し、是正を加速し、重要資産を保護するための継続的改善を可能にする。

状況認識

SITUATION

現在および予測される脅威ランドスケープに基づき、すべてのステークホルダーに対して脅威に基づく意思決定を促進し、相応のセキュリティ準備態勢を構築する。

イベントおよびインシデント対応、業務継続

RESPONSE

企業環境における侵入活動を収集・相関・優先順位付け・エンリッチし、インシデント対応者に優位性をもたらし、セキュリティ態勢を強化する。

サードパーティリスク管理

THIRD-PARTIES

ベンダーおよびサプライヤーに起因する潜在的インシデントを継続的に監視・検知・評価・緩和することで、サードパーティリスク管理を強化する。

不正および不正利用管理

FRAUD

不正およびブランド保護における新規・新興トレンドに関する認識を高め、従業員、顧客、そしてブランドに対するリスクを低減する。

ワークフォース管理

WORKFORCE

敵対者の戦術に関する洞察でワークフォース管理施策を強化し、組織のアタックサーフェスにおける人的要素の強靭化を支援する。

サイバーセキュリティアーキテクチャ

ARCHITECTURE

サイバー脅威に関する洞察を提供し、システムおよび情報セキュリティの実践を推奨することで、堅牢でレジリエントなITアーキテクチャの開発を支援する。

サイバーセキュリティプログラム管理

PROGRAM

戦略目標に整合し、強固なガバナンス、計画、協働を促進する、測定可能なCTIプログラムを通じて、組織のレジリエンスと成功を確実にする。

成熟度指標レベル(MIL)

CTI-CMMは、組織が実践を一貫して反復可能に実行できる能力を測定するために、4段階(0〜3)の成熟度指標レベル尺度を使用します。

レベル

特性

CTI0:前基礎(Pre-Foundational)

実践の不在: このレベルではいかなる実践も実施されていません。

CTI1:基礎(Foundational)

場当たり的で反応的: 実践は文書化されておらず、計画もなく、対応主導です。限られた一部のステークホルダーに対して短期的成果を提供します。メトリクスは努力量と処理量に焦点を当て、測定可能な価値は限定的です。

CTI2:高度(Advanced)

標準化され能動的: 実践は文書化され、計画され、標準化されており、多くの場合スケールした自動化を伴います。能動的・予測的インテリジェンスにより、短期および中期の成果を提供します。メトリクスには定性的フィードバックが含まれ、影響を示し、中程度の価値を提供します。

CTI3:リーディング(Leading)

処方的でビジネスに整合: 実践は部門横断的で、十分に標準化され、ビジネス成果に整合しています。処方的な提言と継続的改善により、長期的な戦略成果を提供します。メトリクスは包括的で、将来のアクションに紐づき、プログラム全体の有効性を評価します。

戦略・運用・戦術の整合

成熟したCTIプログラムは、企業のあらゆるレベルで成果に影響を与える能力を示します。CTI-CMMは、相互補完的な次の3つのレベルを定義します:

  • 戦略: 長期計画に焦点を当て、経営層に情報を提供し、ポリシー策定を導き、高レベルのリスク評価を支援します。
  • 運用: 特定のキャンペーンを支援し、セキュリティ運用、インシデント対応、リスク管理のための実行可能なインテリジェンスを提供します。
  • 戦術: 目先の脅威に対処し、侵害指標(IoC)や攻撃パターンを用いて、SOCアナリストなど最前線の防御担当者にリアルタイムまたは準リアルタイムの支援を提供します。

——————————————————————————–

5ステップの実装ライフサイクル

CTI-CMMは、継続的な測定、価値の実証、プログラム成長を確実にするため、循環型の5ステッププロセスを提唱します。

ステップ0:準備

この基礎段階は、いかなる評価の開始前に行われます。モデルを参照枠として認識し、次の3つの重要な議論を行います:

  1. ステークホルダー関与: ステークホルダー(例:SOCアナリスト、リスクマネージャー)を明確に特定し、関係を構築し、彼らの報告要件と成功の定義を理解します。
  2. 目標設定: CTIプログラムの「理想的な最終状態」と、達成のための現実的な期間を定め、CTI-CMMを用いて無形の目標を具体的な行動へ落とし込みます。
  3. プログラム計画: 行動を時間・人員・コストに紐づけた具体的な計画を作成し、既存プロジェクトと統合して価値貢献を報告できるようにします。

ステップ1:評価

各ドメインにおけるCTI実践の現状実装をベースライン化するため、自己評価を実施します。

  • スコアリング: 4段階尺度(未実装、一部実装、概ね実装、完全実装)を使用します。
  • ベストプラクティス: 回答は批判的に行います。2つのスコアで迷う場合は、現実的な評価を確保し改善領域を明確にするため、低いスコアを選択します。
  • 成果: 評価は2つの観点を生みます:ドメイン別成熟度(単一ドメインに対するプログラム成熟度)と、全社成熟度(組織全体の集計スコア)です。

ステップ2:計画

評価結果とステークホルダー期待に基づき、能力向上のための段階的な道筋を描きます。

  • 優先順位付け: 強いドメイン、改善領域、次の90日で最も進捗を出せるドメインを特定します。
  • 整合: 計画が経営層からの戦略情報に整合していることを確認し、活動内容とその価値提案を明確に記述します。

ステップ3:展開

データフィード、ベンダーソリューション、人員配置などのリソースを優先配分し、能力成長を可能にすることで計画を実行します。

  • 明示的な意思決定: 前提に基づいて運用することを避け、柔軟性を確保するため、優先度に関する意思決定を文書で記録します。
  • 最初の90日: 新規プログラムでは、この初期期間の成功が、プログラム価値に対するステークホルダーの見方を形成するうえで重要です。

ステップ4:測定

CTIプログラムの成熟度と価値提供を継続的に監視・評価します。

  • 価値評価: プログラムが測定可能な価値を提供し、優先領域を実現できているかを定期的に問い直します。
  • フィードバックループ: 期待どおりの成果が出ていない場合、この段階は、サイクルを再開する前にフィードバック、学習、優先順位の再調整を行う機会を提供します。

——————————————————————————–

進化するメトリクス:努力量から成果へ

CTI-CMMの中心テーマの一つは、プログラム成熟に伴うメトリクスの進化です。この進展は、単に活動を数える段階から、戦略的なビジネス価値を示す段階へと移行します。

  • CTI1:基礎(努力量の測定)
    • 焦点: メトリクスは主に定量的で、「処理量または努力量」を追跡します。チームが忙しいことは示せますが、「測定可能な価値は限定的」です。
    • 例: その場しのぎのアラート生成数;外部ソースから収集したIoCの割合。
  • CTI2:高度(影響の測定)
    • 焦点: メトリクスはより定性的になり、ステークホルダーのフィードバックによって改善されます。CTIが意思決定や運用にどのように影響するかを示し、「中程度に測定可能な価値」を提供します。
    • 例: 平均検知時間(MTTD)の短縮;不正防止による推定コスト削減;定性的なステークホルダーフィードバック。
  • CTI3:リーディング(成果の測定)
    • 焦点: メトリクスは包括的で、ビジネス成果に整合し、将来のアクションに明示的に紐づきます。プログラム全体の「有効性」と、戦略的意思決定における役割を評価します。
    • 例: 脅威に基づく検知による滞留時間(dwell time)の短縮;CTIリスク評価に照らして精査された戦略的資産取得の件数;インテリジェンス主導の行動とリスク低減の相関。

ドメイン別メトリクス適用

努力量から成果への一般的な進展は普遍的ですが、測定対象の具体的な内容は、11ドメインそれぞれのミッションに合わせて調整されます。

  • ASSET: インベントリ精度、アタックサーフェス露出、ライフサイクル判断に焦点。(例:「CTIリスク評価に照らして精査された戦略的資産取得の割合」)。
  • THREAT: 検知ロジックの有効性、パッチ優先順位付け、予測能力に焦点。(例:「敵対者インフラ…を先回りして特定しブロックした割合」)。
  • RISK: 定量化、フレームワーク整合、意思決定支援に焦点。(例:「サイバー脅威ランドスケープに基づいて優先順位付けが行われたリスクベースの意思決定の件数」)。
  • ACCESS: 資格情報の衛生、認証ポリシー、アイデンティティ脅威に焦点。(例:「CTIアラート後のアイデンティティ関連脅威に対するMTTR[平均対応時間]」)。
  • SITUATION: 脅威ランドスケープの網羅性とデータソースのROIに焦点。(例:「CTIに基づく状況予測の改善によるセキュリティインシデントの減少」)。
  • RESPONSE: 速度(滞留時間)、エンリッチメント、プレイブック有効性に焦点。(例:「CTIエンリッチメントを受けたIRケースのエスカレーション割合」)。
  • THIRD-PARTIES: サプライチェーン露出とベンダー通知に焦点。(例:「サードパーティから通知を受ける前にCTIがサードパーティ侵害を検知した回数」)。
  • FRAUD: 金銭的損失防止、テイクダウン、ブランド保護に焦点。(例:「CTIに基づく自動化により減少した不正試行の割合」)。
  • WORKFORCE: 人の行動、研修の関連性、文化的認識に焦点。(例:「CTI主導の研修により従業員のセキュリティ意識が測定上向上した度合い」)。
  • ARCHITECTURE: 設計への影響、設計図、構造的レジリエンスに焦点。(例:「CTI入力を引用しているアーキテクチャ設計レビューの割合」)。
  • PROGRAM: CTI機能のガバナンス、予算、戦略整合に焦点。(例:「CTIプログラム予算の前年差異とリーダーシップ支援」)。

——————————————————————————–

サイバー脅威プロファイルの設計

CTI-CMMで示される重要な活動の一つが、サイバー脅威プロファイルの作成です。これは、組織に対する脅威の想定される意図、能力、標的を特徴づけたものとして定義されます。このプロファイルは、生のインテリジェンスと戦略的リスク管理の間のギャップを埋めます。

1. 多様なデータソースを収集する: 堅牢なプロファイルには、次を含む複数ソースの情報を融合することが必要です:

  • オープンおよび商用インテリジェンス
  • 脆弱性およびアタックサーフェスのインテリジェンス
  • サイバー犯罪者のアンダーグラウンド活動
  • 侵害イベントおよびアイデンティティインテリジェンス

2. 脅威を特徴づけ、順位付けする: プロファイルは単なる一覧を超え、組織の業種や所在地に関連する脅威グループやトレンドを優先順位付きでランク付けしなければなりません。各脅威について、次の3要素を評価する必要があります:

  • 意図: 何を望んでいるか。
  • 能力: 何ができるか。
  • 標的: 何を狙っているか。

3. リスク管理と整合させる: プロファイルは既存のリスクフレームワーク(例:NIST 800-30、FAIR)と統合されなければなりません。リーディング成熟度(CTI3)では、プロファイルがリスクベース意思決定の優先順位付けを直接駆動し、リスク管理ダッシュボードに統合されます。

4. プロファイルを運用に落とし込む: 成熟したプロファイルは静的な文書ではなく、定期的に更新され、次のように運用を駆動します:

  • ランク付けされた脅威に対する検知コントロールの優先順位付けのためのギャップ分析を支援する。
  • 推奨アクションを添えて、ステークホルダーに処方的分析を提供する。
  • 最新の脅威知識により、攻撃的セキュリティおよびリスク管理に情報を提供する。

このプロファイルを構築・維持することで、CTIプログラムはリスク部門が影響を正確に評価し、組織のリスク許容度に整合させ、最も深刻かつ発生可能性の高い脅威に対するコントロールを優先的に実装できるようにします。

翻訳元: https://breached.company/briefing-the-cyber-threat-intelligence-capability-maturity-model-cti-cmm/

ソース: breached.company
#CTI-CMM #インシデントレスポンス #サイバーセキュリティ #サイバー脅威インテリジェンス #ステークホルダーエンゲージメント #メトリクス(効果測定) #リスクマネジメント #成熟度モデル #継続的改善 #脆弱性管理

関連記事

サードパーティのメールベンダーが侵害され、Flickrの3,500万人のユーザーデータが流出

フリード・フランクのデータ侵害でJPMorganとゴールドマン・サックスのプライベート・エクイティ投資家を含む46,000人超が露出:ウォール街のエリート法律事務所が大手銀行顧客にとっての「負債」に

SoFi Technologiesのデータ侵害で数万人分が流出:フィンテック利用者が知っておくべきこと