WEFのISP原則の報告書をみていたところ、脅威情報共有のプラットフォームのMISPにたどりついたので、すこしお勉強しようかとおもいます。
調べていて興味深かった論文は、Charles JACQUET “Privacy Aware Sharing of IOCs in MISP” です。
このJACQUET論文の15頁は、情報共有の歴史です。15頁からです。モリスワームから、情報共有が始まっていること、1998年大統領決定63項や、2013年大統領令13636号が紹介されています。最初は、国土安全保障省のCISCPがあり、がなされて、米国では、情報共有分析組織(ISAO)が、発展します。
この論文から離れますが、具体的な情報共有組織としては、国土安全保障省(DHS)のサイバー情報共有・協調プログラム(CYBER INFORMATION SHARING AND COLLABORATION PROGRAM-CISCP)、重要インフラ・キーリソース サポートアネックス(CIKR)、国防省 (DoD)の防衛産業ベース (DIB)、協調情報共有環境(DCISE)などがあります。
日本語の文献としては、CSMI 菊池 浩「防衛関連企業等のレジリエンス基盤確保のための情報共有について(平成 25 年度)」があります。
JACQUET論文に戻ると、論文は、脅威インテリジェンスのベンダーに話が進みます。
“Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives “という論文によると、ベンダーとしては、22のプラットフォームがあるとしています。
22としてあがんているものは、
- Accenture Cyber Intelligence Platform
- Anomali ThreatStream,
- Anubis Networks Cyberfeed
- BrightPoint Security Sentinel
- Collaborative Research into Threats (CRITs)
- Comilion
- Facebook Threat Exchange
- Falcon Intelligence Crowdstrike
- MANTIS Cyber Threat Intelligence Management Framework
- Malware Information Sharing Platform (MISP)
- McAfee Threat Intelligence Exchange
- Microsoft Interflow
- Open Threat Exchange (OTX)
- Soltra Edge
- HP ThreatCentral
- ThreatCloud IntelliStore
- ThreatConnect
- ThreatQ
- ThreatTrack ThreatIQ
- Eclectic IQ
- IBM X-Force Exchange
- Collective Intelligence Framework (CIF)
などです。
情報共有のための標準についての検討が続きます。この標準は、列挙(Enumerations)、スコアリングシステム、言語、そして最後にトランスポート四つに分けることがてきるとされています。
このJACQUET論文は、サイバー観測可能表現( Cyber Observable eXpression (CybOX)), 構造的脅威情報表現(Structured Threat Information eXpression (STIX) )、 MISP-core format for the languages、信頼される自動的情報インディケータの交換(Trusted Automated eXchange of Indicator of Information (TAXII))をあげています。
また、TAXIIは、シェアのモデルをあげていて、ハブ・スポークモデル、ソース/購読者モデル、ピア・トー・ピアモデルがあげられています。
JACQUET論文は、次にガイドラインについて紹介をしていきます。
欧州では、EISAS(欧州情報共有およびアラートシステム)が提案され、ENISAがガイドラインを公表します。また、NISTは、2016年にSP800-150として“Guide to Cyber Threat Information Sharing”を公表します。日本語での説明はこちらになります。
このような情報共有の基本的なことを紹介したあとで、プライバシープリサービングの技術について論じていきます。でもって、論文のポイントは、プライバシーを維持しながらの情報共有という問題を論じていきます。ただし、法的な観点からは、情報セキュリティのための共有は、通常の共有とは、また、レベルが異なってくるのですが、そのような観点とは、また、別に技術的に論じているので、その部分は、パスすることにします。
ということでちょっと、基礎的なところをまとめてみました。
