その名の通り、情報共有とは他者と情報を共有することです。あなたが中小企業を経営していると想像してください。突然、その企業がサイバー脅威の被害に遭いました。どうしますか?リソースもコンピューターセキュリティも不足しており、ゆっくりと確実に、システムインフラはサイバー犯罪者の支配下に入ってしまうでしょう。
中小企業は、直面している問題に関連する情報を共有するプラットフォームを探すしかありません。幸いなことに、サイバー脅威への防御方法に関する貴重な情報を共有する情報共有コミュニティが存在し、組織は迅速に戦略を学び、実施することができます。
これは現代社会において極めて重要な課題であり、本記事では情報共有の定義、ベストプラクティス、メリット、課題について理解を深めていきます。
サイバーセキュリティにおける情報共有の理解
情報共有とは何か?
情報共有とは、ステークホルダーがサイバー攻撃や脆弱性に関する重要な情報を互いに共有し、サイバーセキュリティ対策の計画、処理、開発を行うことです。なぜなら、単独の組織では全てのサイバー攻撃を特定し軽減することは不可能だからです。ただし、情報共有は全ての関係者やサイバーセキュリティコミュニティが依存する主要な基盤であるため、安全で信頼性が高く、拡張性があることが重要である点に留意すべきです。
これらのサイバーセキュリティコミュニティや関係者は、経験豊富な他者が収集した知識を活用してサイバー脅威への理解を深めます。その目的は単純明快です——様々なサイバー攻撃に関する重要な情報を共有し、互いのセキュリティ基盤を強化することです。
サイバーセキュリティにおける情報共有の事例
情報共有の仕組みを理解するため、情報共有分析センター(ISAC)、政府、およびそのメンバー間の情報共有事例を見ていきましょう。
ただし、サイバーセキュリティにおける情報共有の詳細に入る前に、ISACが具体的に何であるかを理解しましょう。ISACは1998年に米国で初めて導入され、重要インフラの脆弱性に対処し、業界内で重要な情報を共有することで組織をサイバー脅威から保護する役割を果たしてきました。
これと同じ枠組みのもと、バラク・オバマ前大統領によって情報共有分析組織(ISAO)が設立されました。ISACとISAOの概要が分かったところで、具体例を見てみましょう。
政府がISACメンバーのサイバーシステムから不審な活動に関する情報を得た場合、ISAC運用センターからメンバーに対し必要な措置を指示し、その情報を他のメンバーに伝達します。別のケースでは、ISACメンバーが自社システムで異常活動を検知し、直ちに運用センターに報告します。センターはメンバーに対し政府に支援を求めるよう勧告します。このプロセスを経て、政府は当該インシデントに関する情報を他のメンバーと共有します。
しかし、ISACが安全で公平かつ有益な情報共有メカニズムの提供に尽力しているにもかかわらず、情報共有に伴う懸念やリスクが利益を上回るため、参加率は期待外れとなっています。
前述の通り、ISAOは組織がサイバーセキュリティ攻撃、脅威、リスク、インシデントに関する機密データを安全に分析・共有することを可能にする。ISACが重要インフラ産業内のメンバー間でのみ情報共有できるのに対し、ISAOは他産業間でも情報共有が可能である。ISAOのコミュニケーションはカスタマイズ可能であり、法律事務所、コンサルティング会社、会計事務所、部門横断的なクライアントを支援する企業など、様々な分野にわたる中小企業など、異なる種類やカテゴリーの組織に対して柔軟なアプローチを提供します。この強力な連携により、データは頻繁かつ迅速に共有され、組織はサイバー脅威から身を守ることができます。ISAO の構造は他の業界やメンバーの好みに合わせてより柔軟ですが、ISAC と ISAO の両方が重要視しているのはセキュリティです。
ISAC と ISAO は、システムインフラを保護するという同じ目標を共有する人々との脅威情報の交換と受信を通じて、組織のセキュリティ体制を改善するための協力と情報共有の必要性を強調しています。さらに、個人やコミュニティがサイバー脅威や攻撃を軽減する戦略を容易に実施する助けとなります。
情報共有の利点
情報共有は新たな脅威に対する効率的な対応を提供します。情報の共有はサイバー攻撃のリスクを低減し、サイバーセキュリティの仲裁者が最適な防御策を獲得するのを支援し、組織が協調して個人レベルと国家レベルの両方でセキュリティを維持することを可能にします。
さらに、開示される情報の種類に応じて様々なカテゴリーに分類できます。
- 被害軽減: 組織がセキュリティ侵害を迅速に発見し、サイバーセキュリティ脆弱性による被害を軽減するのに役立ちます。
- サイバーセキュリティインシデントの低減: 新たな脅威に対する組織全体の対応力を強化し、攻撃者が組織から情報を収集する可能性を低下させるとともに、その情報を悪用して他機関への攻撃を仕掛けることを抑制します。これにより、システム・業界・セクター全体への連鎖的影響を防止します。
- サイバー脅威への効果的な対応: 全ての組織がデジタル環境における多様な脅威を認識し、サイバー犯罪者の手口・手法・手順、そして絶えず変化する脅威に対する防御策について深い理解を得ることを保証します。
- 手順の簡素化: 管理手続きの効率化と情報処理の迅速化を支援し、情報共有システムの関係者がサイバー攻撃に直面した際に迅速に対応できるよう確保します。
- コスト削減: 重複するコストや労力を削減できるほか、必要なリソースをすべて集めることなく解決策を開発することで、組織がサイバー攻撃に対抗することを可能にします。ただし、情報共有の能力は、情報が共有されるネットワークの規模が十分に大きい場合にのみ意味を持つことに留意する必要があります。
結局のところ、悪用や攻撃を受ける可能性が低い組織よりも、有力な組織の方が情報共有からより多くの利益を得られる可能性があります。
情報共有の課題
企業(規模の大小や公的・民間を問わず)は、リスクを伴わず、重要なサイバーインテリジェンスを漏洩させず、全体的なセキュリティ態勢を損なわない情報共有方法の決定に課題を抱えています。さらに、公的部門と民間部門は、相互に有益な情報をノイズを排除して共有するための具体的なガイドラインの確立に苦慮しています。
これらの課題には以下が含まれる:
- 他者(特に競合他社や規制当局以外の政府機関)との情報共有には、多くの法的責任やコンプライアンス上の問題が伴う。
- 業界やセクターが膨大でセグメントも異なるため、共有すべき情報の内容が異なってくる。
- 共有する者同士の信頼関係とコミュニケーション不足が大きな課題である。人々は、専門家、検証可能なエキスパート、情報共有と受領の適切なバランスを保つステークホルダーのみを信頼します。
- 情報共有には法的・プライバシー上の懸念が伴います。
- 組織や関係者は、情報共有のように新しく見えたり馴染みのない事柄を受け入れることができません。さらに、不十分な技術や技術的知識の欠如は、困難さや非効率性から情報共有の取り組みを失敗に終わらせる可能性があります。
情報共有のベストプラクティス
組織は、複雑で持続的な脅威から効果的に身を守るため、自組織のセキュリティ対策を超えた統一的なアプローチを採用すべきです。情報共有は、サイバーセキュリティコミュニティの知識と理解を活用することで、サイバーセキュリティ防御を強化する最も強力な戦略の一つである。
効率的な情報共有のためのベストプラクティスをいくつか探求し、組織がサイバー脅威を防ぐための強力で安全かつ信頼性の高いセキュリティシステムを構築できるようにしよう。
- 情報共有プロセスの効率化: 情報共有プロセスを最適化・効率化するため、組織は他の組織と安全かつ効率的に情報を共有できる先進的なツールや技術を活用すべきです。自動化されたプロセスを活用することで、様々な情報源から情報を収集し、データエンリッチメントと正規化のプロセスを経て、最も関連性の高い情報を信頼できる関係者に伝達できます。これにより、サイバー犯罪者が攻撃する隙間を減らすことができます。
- 安全なコラボレーション:機密情報が許可された個人または企業のみに交換されるよう、組織は強力なアクセス制御を実施することが不可欠です。これによりデータの悪用を防ぎ、機密性を維持できます。
- 情報共有ルール:さらに、組織だけでなく顧客やパートナーにとっても、不適切に共有された場合に悪影響を及ぼす可能性のある情報の流通を防ぐためのルールを設けることが重要です。ルールには、受信者の信頼性、共有データの機密性、および異なる種類の情報共有または非開示による潜在的な影響を含める必要があります。
- 情報共有の範囲:組織は、そのリソースと目標に一貫性を持つべきです。主な目的は、他の組織や利害関係者に最も価値のある情報を提供することである。範囲設定活動では、利害関係者が承認する情報の種類、情報共有が許容される条件、および情報を共有できる相手と共有すべき相手を特定すべきである。
- 集合知: 組織は信頼できる同業者、業界パートナー、検証済みの情報共有コミュニティと連携し、サイバー脅威インテリジェンス能力を強化する措置を講じ、戦略を策定することで、サイバー犯罪者の様々な手口や技術から身を守ることができる。rel="noopener">脅威インテリジェンス能力を強化し、戦略を策定することで、サイバー犯罪者の様々な手口や技術から身を守ることができます。
- 指標の積極的な充実:組織は、生成する各指標に対してメタデータを生成することで、脅威情報の有用性と効率性を高めることができます。メタデータは、指標が使用される理由、解釈方法、他の指標との関連性といった文脈を提供します。指標と関連メタデータの公開・更新方法、誤った情報や意図せず共有された情報の撤回方法に関する手順を整備すべきです。
- 情報共有ネットワーク:情報共有ネットワークは、組織が知見を共有し、協力し、サイバー脅威に一致団結して立ち向かうための安全な場を提供します。ただし、明確な目標の設定、相互信頼の醸成、積極的な参加と協力といった具体的なガイドラインを遵守し、強固な関係と強力な情報共有ネットワークを構築することが重要です。
サイバーセキュリティにおける情報共有の役割
サイバーセキュリティにおける情報共有は、組織がサイバー脅威に直面した際、特にその組織向けにカスタマイズされた脅威に対して不可欠です。情報共有のような共同行動を通じて、こうした脅威を軽減できます。共有された情報は結果的に他の組織に警鐘を鳴らし、サイバー犯罪者による新たな手法や絶えず進化する攻撃から自らを防御する準備の機会を提供します。
協調的環境における情報共有
情報共有において信頼は重要な役割を果たす。特に災害時など、異なる分野や競合関係にある組織が共通の目標を共有する状況では、計画外の協力から始まることが多い。
アドホックな協力関係は時間をかけて信頼を構築し、組織は関係者が期待通りに機能する(つまり被害を最小限に抑え、セキュリティを最大化する)という確信を得られる。困難ではあるが、組織はこうしたアドホックな協力関係を持続させるべく取り組む必要がある。そうすることで、信頼を確立するだけでなく、情報共有の「何を」「いつ」「なぜ」「どのように」を考慮しつつ、積極的に協力しサイバー脅威のリスクを低減する枠組みを構築できるからだ。
さらに組織は、機密情報保護の責任を果たしつつ脅威情報を迅速に共有できる手順を構築すべきである。これにより組織内および関係当事者間の情報共有活動における混乱を軽減し、支援体制を強化できる。
組織の手順では、以下のような様々な要素を考慮し、含めるべきである:
- 信頼できる参加者と容易に共有できる脅威情報を認識する。
- 機密データを含む可能性のある脅威情報の保護。
- 機密情報の漏洩に対処するための計画を作成する。
- 可能な範囲で脅威情報の処理と共有を自動化する。
- 情報取扱指定の使用方法、監視方法、適用方法を説明する。
- 必要に応じて、非帰属情報の共有を許可する。
- 脅威情報の内部および外部ソースの両方を追跡する。
これにより、組織は連携を強化し、サイバーセキュリティリスクをより適切に管理できるようになります。これらの手順は、主要な利害関係者との効果的な情報共有を可能にするだけでなく、認可された外部コミュニティとの連携も実現します。
情報共有とマルウェア検知
情報共有は、全ての関係者のサイバーセキュリティ領域を拡大する上で重要です。サイバー攻撃の隔離と防止には、他組織との強力な連携が不可欠です。脅威、攻撃、脆弱性に関する重要な情報を迅速に共有することで、サイバーインシデントの範囲と影響を大幅に軽減できます。適切な手順、戦略、ネットワークを備えた情報共有は、インシデント対応プロセスを効率化し、新たなサイバー脅威の影響を防止または軽減します。異なるネットワーク間で悪意のあるサンプルを特定・検証するための深い文脈と証拠を提供するため、マルウェア検出の速度と精度を向上させることができます。また、マルウェア分析に関する知識とベストプラクティスの共有を可能にするため、様々なセキュリティ関係者の間の連携と調整を改善できます。
マルウェア検出を改善するには、脅威情報を共有する最も有用な方法は、ISAC(情報共有分析センター)への参加、データ共有を可能にする政府運営プログラムへの関与、信頼できる当事者との間で脅威情報を安全に共有するための正式な合意を構築することです。
情報共有プラットフォーム:サイバーセキュリティの強化
情報共有プラットフォームは、一般市民だけでなく、政府機関、教育者、医療従事者、法執行機関など様々な業界・セクター向けに広く利用可能です。膨大な脅威インテリジェンスを手作業で精査し、比較・分析して知見を導き出すことは困難です。しかし、現代の情報共有プラットフォームは、脅威インテリジェンスの収集、標準化、相関分析、強化、分析、拡散といった複数のプロセスを自動化することで、セキュリティチームがこれらの課題を効率的に解決することを可能にします。
新プラットフォームは、組織・ISAC/ISAOメンバー・利害関係者・子会社・規制当局間での脅威情報のシームレスな共有・受信を実現します。高品質な情報共有プラットフォームは、以下のような脅威アクターの手口・手法・プロセス、、手法、イベントなどの分析と配布を可能にします。
これらの情報はすべて、Trusted Automated Exchange of Indicator Information(TAXII)およびStructured Threat Information eXpression(STIX)を通じて、機械が読み取れる形式でリアルタイムに交換されます。TAXIIもSTIXもソフトウェアやプラットフォームではありません(前者はアプリケーション層プロトコル、後者はプログラミング言語です)。しかしこれらは情報を消化しやすく共有可能にする基盤技術と標準規格なのです。
情報共有プラットフォームは一般的に以下のカテゴリーで構成されます:
- 情報共有分析センター(ISACs)
- 脅威インテリジェンスプラットフォーム(TIPs)
- Stack ExchangeやRedditなどのオンラインコミュニティおよびフォーラム
- 政府警報システム
- 民間サイバーセキュリティ企業のフィード
- 業界連携ネットワーク
さらに、サイバーセキュリティ指標や脅威の情報共有を可能にする無料のオープンソースソフトウェアであるマルウェア情報共有プラットフォーム(MISP)や、サイバーセキュリティ事象を安全に処理するためのセクター横断的な情報共有を設計したThreatvine Hubなど、効率的で有益なプラットフォームも存在します。
結論
情報共有とは、送信者と受信者間の1対1の情報交換を意味します。全体像を把握できず、サイバー脅威や攻撃から自社のセキュリティ体制を安全かつ確実に守るためのリソースを欠いている組織は数多く存在します。
しかし、情報共有の助けを借りれば、単一の組織や団体が様々なサイバー脅威に関する重要かつ多様な情報を共有し、地域的な脅威やアクターを阻止するための戦略を共同で策定することが可能になります。結局のところ、エコシステム全体で全ての参加者が自らのプラットフォームを保護できるよう支援することが目的です。
FAQs
サイバーセキュリティにおける情報共有は、組織が脅威の範囲をより深く理解し、潜在的な侵害の兆候(IOC)を特定する可能性を高めます。情報共有により、組織は様々な業界にわたってセキュリティ対策と態勢を強化できます。
情報共有分析組織(ISAO)は、サイバーセキュリティ脅威の検知と情報拡散を目的として協力する信頼性の高いコミュニティです。ISAOは組織、企業、政府に対し、脅威に関する技術情報を提供することに重点を置いています。さらに、国内外の大企業・中小企業やサイバーセキュリティ組織など多様な情報源から、サイバー犯罪者とその手法に関するデータを収集します。適切かつ有益な情報を提供するため、サイバーセキュリティ業界における信頼できるアドバイザーの一つです。
サイバーセキュリティにおける情報共有のベストプラクティスは、価値ある有益な情報を提供することで専門性を高め、積極的な参加と協働を通じて強固な信頼関係を構築し、他組織と連携し、脅威情報の公開・流通を管理する明確なルールを確立することです。
情報共有には利点がある一方で、法的・プライバシー上の懸念による内部制限、情報の過剰、関係者間の信頼・コミュニケーション不足、技術的知識の欠如、組織が情報共有という未知の領域に踏み込むことを恐れることなど、固有の課題が存在します。