サイバー脅威インテリジェンスの課題の比較検討の論文を読んだあとは、もう一本の論文を読んでみます。
タイトルは、「基礎の修復:サイバー脅威情報共有が期待に応える方法とNATOへの示唆」(Repairing the Foundation: How Cyber Threat Information Sharing Can Live Up to its Promise and Implications for NATO)です。原文は、こちら。
“live up to promise”で「期待に応える」ですね。約束まで生きるみたいなニュアンスなので、そういう感じに訳すわけです。
著者は、Michael Daniel、Joshua Kenway です。二人は、Cyber Threat Allianceのかたですね。
1 序
情報共有は、よく使われながら、結果が伴わないということから論文は始まります。論理的な質問としては、なぜ情報共有が増加しないのか、ということになります。
(論文の実質的な内容の概略の説明のあと、)NATOの情報共有の技術的レベルについての説明がなされます。このブログでも詳しくみた、MISPを採用していること、 情報共有は、機密クラス分けによってフィルターされていること、NATOは、EU-CERTや民間と産業サイバーパートナーシップ(NICP)を結んでいること、産業パートナーには、オラクル、RSAセキュリティ 、ファイアアイ、シスコ、CT4GATE、タレス、ボーダフォン、BTなどがあること、などが説明されています。
2 誤った仮説:過剰な期待(overpromising)と期待はずれ(underachieving)
この論文は、三つの誤った仮定をとりあげています。これらの仮定は、
- サイバー脅威情報は、技術的データから主として成り立つ
- すべての組織は、技術データを活用(consume)しなければならない
- 情報共有は、容易である。
というものです。
サイバー脅威情報は、技術的データから主として成り立つ
実際には、種々のデータか交換されなければならないながらも実際には、技術的データが協調されているとされます。STIXやMISPという交換のための標準が、技術的情報に集中していることによると考えられます。そして、政府のプログラムも制定法もこのタイプの情報に集中しています。
しかしながら、著者らは、このような技術偏重な情報に交換される情報が偏るとサイバー脅威情報の交換のもつ意義が損なわれるとします。FBIが、中国のグループが知的財産の窃取を企てているという情報は、きわめて訳にたつでしょうし、脆弱性の情報とパッチが重要な意味を持つことはいうまでもありません。
すべての組織は、技術データを活用(consume)しなければならない
これは、技術データ偏重の仮説から導かれるものになります。しかしながら、実際は、技術データを分析、活用する資源を有していません。このような限界があるといってもサイバー脅威情報から、利益をうけないというわけではないのです。会計・法務と同様に、内部での能力を抱え込んでおく必要があるかということになります。
情報共有は、容易である。
2008年に米国で、CNCI(総合国家サイバーセキュリティイニシアチブ)が構築されてから、13年経過しても、中央に接続するというモデルは、なかなか実現されていないこと、これは、ISACでも同様であること、公的機関が民間部門と情報を共有しようとしてもなかなか参加企業が増加しないこと、を筆者はあげます。
このための障害として
過剰な分類、風評リスク、法的な懸念、検証、標準化、適時性、自動化に関する運用上のハードル
があるとします。
3 情報共有の再構築 -新たな急務(New Imperative)
2での誤った仮説に変えて、この論文は、四つの仮説を提案しています。
A サイバー脅威情報の種類
Chismon and Ruks (2015)を引用して、以下の表が示されます。
| カテゴリ | 情報の例 | 名宛人 | 決定例 | 時間枠 |
| 技術(Technical ) | 攻撃のインディケータ | ベンダー・ネットワークプロバイダ | ネットワークセキュリティツールは、このパケットを通すべきか? | 緊急 |
| 戦術(Tactical ) | 具体的な攻撃の詳細 | ネットワーク防御者(スタッフ・意思) | 今日、セキュリティセッティングを変更すべきか? | 短期 |
| 運用(operational) | マルウエアのタイプ | 上級セキュリティ担当/経営層 | どのくらいの頻度でパッチを適用すべきか? | 中期 |
| 戦略(Strategic) | 変化するサイバーリスクのハイレベル情報 | 執行役員/上級意思決定者 | 新たな摘芽業界を標的としているのでリスク評価を変更すべきか | 長期 |
そして、サイバー脅威協会( Cyber Threat Alliance (CTA))が、カテゴリごとサイバー脅威情報の例をあげています。
| 技術的レベル | 戦術レベル | 運用レベル | 戦略レベル |
| インディケータおよび発見例(ハッシュ、バイナリ、IPアドレス、URLなど) | 標的警告(短期において攻撃者が特定の組織を標的としている) | 脆弱性およびエクスプロイット | ベストラクティス(組織・安全確保・維持のための手法) |
| コンテクスト(技術インディケータのメタ情報-日時、場所、標的組織のタイプ、関連行為者) | 状況意識(ネットワークにおいて発生している行動の詳細) | 防御手法 | 戦略的警句(敵の典型的な標的やどのように進化しているかというサイバー脅威についての一般的な情報) |
| 戦術、技術および手続(敵が利用できる手法) | 攻撃者特定 |
著者は、これらの表は、情報の多様性を示しているとします。
B 情報共有における関連性および比較優位
関連性
企業がそれぞれ目標、ミッション、ビジネスモデルが異なるのに応じて、サイバー脅威情報もその組織にとっての重要性・関連性が異なってきます。ベンダーか、画一的な情報を提供しがちであるのに対して、実際に情報を利用するものは、アップデートされたときに必要とするのでたりることも多いとされます。
比較優位
政府が、サイバー脅威情報の収集・取扱・産出について優位を示していたとしても情報のタイプについては、そのような立場にいるわけではないこと、一方、民間会社は、そのようなサイバー脅威情報のタイプの収集に比較優位をもっているということです。
C 技術、経済、法的、文化的バリア
技術的バリアというのは、定義の不明瞭さ、用語法の違いが、情報の利用が気宇性や信頼性を損なうということです。
経済的バリアというのは、情報共有活動に投資することの明確なリターンがないということです。
法的バリアというのは、情報が共有しうる野かどうか、また、罰金、責任、起訴などリスクがあるのかということです。
文化バリアというのは、情報共有が、競争上の優位にはならない、誰も自分のところは狙わない、サイバーセキュリティは、むずかしすぎる、といったものです。
D トラストは、情報共有の必要なコンポーネント
提供者と受領者がトラストを有しているときのみに情報共有がなされるということです。
4 情報共有急務ための示唆
このような考察をしていくと、新しい情報共有の前提条件、すなわち、情報の種類と関連性の慎重な検討、情報生産における比較優位性、既存のコンテクスト固有の障壁をどのように克服するか、信頼をどのように構築し維持するか、ということは、サイバー脅威の情報共有の状況を、多くの人が想定しているよりもはるかに複雑なものにしているとされます。
そこで、示唆としては
- すべての脅威情報を共有する組織は、すくない
- 情報共有に集中するプログラムは、変化すべき
- 情報共有プログラムは、トラストを構築する必要がある
- 情報共有製品は、一つの情報タイプ以上をそなえることができる
- 技術情報を共有することを期待する組織の数を減少させることによってスピードとスケールを容易にする
- 価値が上がれば、情報共有の負担は減少する/組織が自主的に参加するようにする
- 効果的な情報共有は、計画・長期的投資・コミットメントの維持を必要とする
ということになります。
