サイバー脅威インテリジェンス プログラム構築におけるベスト プラクティス
John Barth
Global Service Lead, Mandiant Intelligence Program Development
Get original CISO insights in your inbox
The latest on security from Google Cloud's Office of the CISO, twice a month.
Subscribeサイバー脅威は、止まることなく深刻化する難題です。サイバー脅威インテリジェンス(CTI)は、組織がサイバー攻撃を事前に特定し、防御するために役立つ一方で、多くの組織が CTI を運用して、それを実践的なセキュリティ対策につなげることに苦労しています。
CTI は、生データを戦略的な知見へと昇華させます。CTI を活用することで、組織は事後対応型の防御からプロアクティブな態勢へと移行し、攻撃の予測、攻撃者の動機の把握、特定の脅威に合わせたセキュリティ防御の調整ができるようになります。
セキュリティおよび IT リーダーの大多数が、自社の防御をすり抜けるサイバー攻撃を懸念しています。Google Cloud の委託により Forrester が 7 月に発表した調査によると、82% の組織が「サイバー攻撃を見逃している可能性がある」と考えています。また、72% がサイバーセキュリティの脅威への対応は「主に事後対応的」であると回答しました。
CTI プログラムを適切に実装すれば、インテリジェンスを有効に運用でき、脅威の状況に関する実用的な分析情報を得ることができます。これにより、組織は重大な被害が発生する前に、リスクを事前に特定、把握、軽減できます。CTI プログラムにより、検出エンジニアリング、セキュリティ管理、脅威ハンティングなど、プロアクティブなセキュリティ運用を推進できます。また、インシデント対応時間の短縮、金銭的損失の最小化、オペレーショナル レジリエンスの向上を通じて、事後対応型のセキュリティ対策を改善できます。
AI と自動化は、検出と分析の機能を強化するための重要なツールですが、それらはあくまで全体を構成する要素の一つにすぎません。テクノロジーの有効性は、それを扱う人とプロセスにかかっています。
成功するビジネスと同様に、人材、プロセス、テクノロジーという 3 つの基本要素がバランスよく統合されていることが効果的な CTI プログラムの鍵となります。
CTI の成功を左右する 3 つの要素
1.人的要素
CTI プログラムの熟練した専任担当者の存在こそが、プログラム成功の要です。アナリスト、研究者、コミュニケーターは、サイバー攻撃者、攻撃手法、組織固有のリスク プロファイルについて深い理解を持っています。また、組織全体でインテリジェンスを運用化し、コンテキスト化するためのビジネススキルも有しています。
- 専門知識: CTI プロフェッショナルには、調査スキル、ビジネス感覚、技術的リテラシー、サイバー脅威に関する知識など、多様なスキルと能力が求められます。
- コラボレーション: 効果的な CTI チームは、他のセキュリティ部門(インシデント対応、セキュリティ運用、リスク管理部門など)との社内のコラボレーションと、同業者やインテリジェンス コミュニティとの社外のコラボレーションの両方を促進します。
- コミュニケーション: 複雑な技術情報を、セキュリティ エンジニアから経営幹部まで、さまざまな関係者に向けて、明確かつ簡潔で実用的なインテリジェンスに変換する能力が極めて重要です。
要件の分析、データの解釈、自動化の調整ができる知識と経験を持つ人材がいなければ、最先端のテクノロジーや洗練されたプロセスも効果を発揮しません。
2.運用フレームワーク
堅牢なプロセスは、CTI プログラムが効率的かつ一貫して機能するための骨組みとなります。このプロセスにより、インテリジェンスをどのように収集、分析、強化、活用し、行動につなげるかが定義されます。
- インテリジェンス ミッション: 経営幹部は、CTI 機能のミッションを明確に定義し、その目的、権限、主要顧客を詳細に示した上で、これを主導する必要があります。
- インテリジェンス ライフサイクル: 計画と収集から処理、分析、配布まで、インテリジェンス ライフサイクルを明確に定義することで、CTI 運用を体系的に進めることができます。
- ワークフローの自動化: プロセスには、可能な限り自動化を取り入れ、反復的なタスクを効率化することで、インテリジェンス アナリストが高度な分析に集中できるようにする必要があります。
- フィードバック ループ: 継続的なフィードバック ループは、インテリジェンス要件の絞り込み、収集戦略の改善、インテリジェンスの品質向上に不可欠です。
- 統合: CTI プロセスを、他のセキュリティ運用とシームレスに統合し、インシデント対応ハンドブック、脆弱性の管理、セキュリティ意識向上プログラムに反映する必要があります。
製造工場に明確な生産ラインが必要なのと同様に、CTI プログラムにも、価値を一貫して提供するための構造化されたプロセスが必要です。
3.実現を支えるツール
テクノロジーは、CTI プログラムの人材とプロセスをサポートする重要な基盤として機能します。脅威インテリジェンスを収集、保存、分析、周知するために設計された、さまざまな IT ソリューションがあります。
- 脅威インテリジェンス プラットフォーム(TIP): さまざまなソースからの脅威データを集約、正規化、強化し、インテリジェンスの一元化されたリポジトリを提供します。
- 人工知能(AI): AI は、脅威検出の強化、大規模データセットの分析の自動化、異常の特定、潜在的な攻撃ベクトルの予測に役立ちます。これにより、インテリジェンス ライフサイクル全体で人材の能力が大幅に補強され、トイル(付加価値の低い定型作業)が軽減されて、人材の作業効率が向上します。
- セキュリティ情報およびイベント管理(SIEM)とセキュリティ オーケストレーション、自動化、対応(SOAR): CTI チームは、これらの内部ツールにアクセスし、組織が直面している主な脅威に関する詳細かつリアルタイムのコンテキストを得られるようにする必要があります。
- オープンソース インテリジェンス(OSINT)ツール: 一般公開されている情報の収集を容易にし、新たな脅威や敵対者の戦術を特定するテクノロジー。
- マルウェア分析ツール: 悪意のあるコードのサンドボックス分析のためのソリューション。
テクノロジーは目的を達成するための手段です。どれほど高度なツールであっても、それを効果的に使用する適切な人材とプロセスがなければ、十分に機能しません。適切な人材とプロセスがなければ、CTI チームはツールから得られる投資収益率(ROI)が低くなり、組織のリーダーが CTI チームから得られる投資対効果(ROI)も低下します。
CTI 成功の方程式
CTI プログラムを成功させるには、CTI プログラムの 3 つの基本要素すべてを活用する必要があります。人材は、テクノロジーの助けを借りて、設計、最適化した定義済みのプロセスに沿って、テクノロジーを使用します。テクノロジーにより、プロセスをより効率的に実行できるようになります。どの要素も等しく重要であり、優先順位に差はありません。1 つの要素に弱点があると、プログラム全体の有効性に影響します。
組織が「人材・プロセス・テクノロジー」を戦略的に投資し調和させることで、脅威の特定のみならず、実用的な推奨事項の提供を通じて、インテリジェンス主導の先制的なセキュリティ文化を醸成できます。
この原則は CTI だけに当てはまるものではありません。セールスチームの構築、新製品の開発、カスタマー サービスの最適化など、どのような場合でも、成功させるには、熟練した人材、明確に定義されたワークフロー、適切なツールが揃っていることが不可欠です。
組織は、熟慮のうえで、人材、プロセス、テクノロジーに投資し、調和させることで、サイバー脅威を特定するだけでなく、実用的なセキュリティの推奨事項を提供し、インテリジェンス主導のプロアクティブなセキュリティ文化を育む CTI プログラムを構築できます。このような投資と文化の変革により、組織は事後対応型から、よりプロアクティブな体制に移行できます。
スタートガイド
セキュリティ機能を構築するには、長期的な取り組みが必要です。CTI 運用化の取り組みを始めるには、次の導入手順をお試しください。
- 保護対象の関係者に話を聞く: 主要な関係者(セキュリティ オペレーション センター、インシデント対応チーム、脆弱性管理チームなど)とコミュニケーションを取り、彼らの抱える課題を把握します。
- 脅威の状況を把握する: インターネットの情報を調査し、自社のような組織がどのようなサイバー攻撃や脅威に直面しているかを確認します。
- CTI について学ぶ: サイバー脅威インテリジェンス分析のスキルを構築するために、MITRE など、多くのリソースを利用できます。米国にお住まいの場合は、CISA Learning で無料の CTI トレーニングにアクセスできます。
- ワークグループを編成する: 組織内で CTI に関心のある人を集め、リソースを共有して、最新のサイバー脅威について話し合います。
Mandiant が提供するサービス
Mandiant の Intelligence Program Development(IPD)エキスパート アドバイザリ サービスは、組織が最高水準の CTI 能力を構築できるよう支援することを目的としています。具体的な CTI ユースケースを分析し、Mandiant の実績ある能力フレームワークを活用して、CTI を効果的に運用するために必要な人材、プロセス、テクノロジーを特定します。
Mandiant Academy は、セキュリティ担当者向けのトレーニング コースを提供しています。その多くは、脅威インテリジェンスを最大限に活用して適用し、戦術的な防御と総合的なセキュリティ ポスチャーを向上させる方法に焦点を当てています。これらのサービスを利用することで、熟練した人材が明確に定義されたプロセスに沿って適切なテクノロジーを活用する、一貫性のあるプログラムを構築できます。これにより、CTI 機能全体を、自社固有のビジネスリスクや目標に一致させることができます。
高度な AI によって強化された Google Threat Intelligence は、脅威をこれまで以上に可視化し、世界中のセキュリティ チームにタイムリーで詳細な脅威インテリジェンスを提供します。Google Threat Intelligence では、Mandiant の業界最前線で培われた専門知識、VirusTotal コミュニティのグローバルなネットワーク、Google ならではの広範な可視性が組み合わされています。
最新の脅威を幅広く可視化することで、CTI チームは、攻撃者の戦術、手法、手順(TTP)や IOC を含むプレイブックを把握し、よりプロアクティブに対応できます。
CTI の目標達成を支援するサービスについてご関心がある場合は、ぜひ Mandiant による無料相談をご予約ください。
※この投稿は米国時間 2025 年 11 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。
-Mandiant Intelligence Program Development、グローバル サービス リード、John Barth
