膨大なサイバーセキュリティ脅威情報を分析し、予見的なセキュリティ防衛を実現する「脅威インテリジェンスDeCYFIR活用支援サービス」を提供 TISインテックグループのTIS株式会社(本社:東京都新宿区、代表取締役社長:岡本 安史、以下 TIS)とサイファーマ株式会社(本社:東京都千代田区、代表取締役:クマール・リテッシュ、以下 CYFIRMA)は、企業・団体のセキュリティインシデントへの対策強化を支援するため、脅威インテリジェンス※1分野にて協業開始することを発表します。 両社は、営業活動を共同で行うとともに、CYFIRMAの脅威ディスカバリー&サイバーインテリジェンスプラットフォーム「DeCYFIR(デサイファー)」と、TISが20年以上にわたり培ってきた金融、公共、製造、流通等の業界におけるサイバーセキュリティ強化のノウハウを活用し、コンサルティングからソリューションの導入、脆弱性診断などの多面的なセキュリティソリューションのポートフォリオの1つとして「脅威インテリジェンスDeCYFIR活用支援サービス」をTISが提供します。 CYFIRMAの「DeCYFIR」は、ディープウェブ、ダークウェブ、ハッカーフォーラムなどクローズドコミュニティから収集された脅威指標の分析ならびに独自の調査に基づき、関連するセキュリティ脅威情報を収集・分析し、お客様の特化したサイバー攻撃を予測する「脅威インテリジェンス」サービスです。「脅威インテリジェンスDeCYFIR活用支援サービス」では、DeCYFIRで得た脅威インテリジェンスを企業・団体のCSIRT※2活動やSIEM※3/EDR※4など多様なセキュリティデバイスと連携し、潜在的なセキュリティ脅威への対応を支援することで、DX時代のセキュリティインシデントへの対策を強化します。 ※1:脅威インテリジェンスとは、攻撃者の意図や能力、設備などに関する情報を分析し、脅威の防止や検知に利用できる情報のこと。 ※2:CSIRT(Computer Security Incident Response Team)は、コンピュータセキュリティにかかるインシデントに対処するための組織の総称。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動を行う。 ※3:SIEM(Security Information and Event Management)は、情報システムを構成するサーバやネットワーク、セキュリティの様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析する仕組み。 ※4:EDR(Endpoint Detection and Response)は、ユーザーが利用するパソコンやサーバーにおける不審な挙動を検知し、迅速なセキュリティ対応を支援するソリューション。 【背景】 近年、サイバーセキュリティ犯罪グループなどにより、サイバー攻撃による被害は高い水準で推移しており、日本の企業・団体はより複雑化・高度化するサイバーセキュリティ脅威に直面しています。警察庁が公開する「令和2年におけるサイバー空間をめぐる脅威の情勢等について※5」によると、サイバー犯罪グループは、地政学的な覇権の獲得に向けた知的財産や機密データの窃取、情報漏洩・改ざんによる風評被害、個人情報・機密情報の窃取による金銭的利益の獲得など、様々な目的でサイバー攻撃を実行しているとみられています。 企業には、このような悪意ある活動から自組織を防衛していくために、従来型のセキュリティ対策から、脅威インテリジェンスによる脅威情報をCSIRTやSIEM/EDRなどのセキュリティデバイスと連携して活用し、予見的かつ戦略的にセキュリティ対策することが必須となっています。 このような背景よりTISとCYFIRMAは、CYFIRMAの脅威ディスカバリー&サイバーインテリジェンスプラットフォーム「DeCYFIR」と、TISがこれまで培ってきたセキュリティコンサルティングやサービス提供等のセキュリティノウハウをベースにした支援を組み合せ、「脅威インテリジェンスDeCYFIR活用支援サービス」としてTISより提供します。 本サービスにより、企業・団体は「意思決定や具体的対応・対策に活用可能」かつ「予見的で特定組織・業界特化の脅威情報」をタイムリーに受け取ることができます。また、毎月の定期レポートの他、TISによるアドバイザリー・QA対応・定例会を提供します。 これにより、企業・団体は、膨大な脅威情報源から、自社に関連する脅威のすべてを可視化・活用する事ができるため、セキュリティインシデントの発生を事前かつ戦略的に抑止することが可能となります。…
脅威インテリジェンス活用の考え方 -3- 前回のブログでは、脅威インテリジェンスを活用するために以下の流れがあると紹介しました。 0. 自組織の脆弱性を認識する 1. 脅威を認識する 2. 脅威を理解する 3. 脅威の影響、リスクを考える 4.脅威の特定、影響度と優先度の決定、対策の検討 5. 活用・提供 今回はフェーズ2以降の詳細を見ていきます。 2.脅威を理解する 脅威を認識したら、脅威を理解しましょう。得た脅威情報について追加の情報を収集し理解を深めていきます。この際、注意すべき点がいくつかあります。 ・単一の情報で判断しない 情報源は複数利用すべきです。セキュリティ機器から得られたIOCなど、それそのもので判断ができる様な情報であればよいですが、脅威は多角的視点で理解する必要があります。あらゆる情報を集め、状況証拠を積み上げ、推論を重ねて評価する必要があります。 ・断定しない 脅威とは既に見えている、顕在化したものだけではありません。今後起こり得る脅威を捕捉するためには、「自社には関係ない」「エビデンスがない」など否定的な断定は推奨しません。「脅威を認識する」フェーズでも述べましたが、ひとりで行うと往々にして断定しがちです。主観的意見を極力排除し、得る情報に対して濃淡をつけていく形で理解を深めることが肝要です。 このフェーズは、高い情報収集能力と分析能力を求められますし、地道な作業の積み重ねになります。本来であれば各社で専門家を育成していくことが望ましい状態でありますが、それまでの間は外部の専門ベンダーに頼って適切な情報提供・アドバイザリーを受け、自社の体制・スキルの強化を図ることが現実的なアプローチでしょう。 3.脅威の影響、リスクを考える 続いて、脅威を自組織の脆弱性と組み合わせて、リスクを検証します。脅威が自組織にどのような影響があるのか?顕在化する可能性はあるのか?などの検証を行っていきます。とはいっても定型化された物差しがないと正確に判断することができませんので、ここではふたつのフレームワークを紹介します。 ・STRIDE マイクロソフトが提唱する脅威分類手法です。このフレームワークを利用すると脅威の特性別に6つのパターンに分類することができます。 表:STRIDE このようにさまざまな脅威を分類することで、自組織にとって望ましくない結果を与える脅威について同じ物差しで会話することができセキュリティ対策検討のスピードを速くすることに寄与します。…
CYFIRMAが提供するDeCYFIRプラットフォーム活用によりデジタルトランスフォーメーションを更に加速、サイバー脅威とデジタルリスク軽減を全社的に推進 シンガポール– 2021年7月2日–Goldman Sachs、Zodius Capital、Z3 Partnersが出資、脅威ディスカバリー&サイバーインテリジェンス・プラットフォームを提供するサイファーマ株式会社(本社:東京都千代田区、以下CYFIRMA)は本日、アジア有数のヘルスケア企業グループであるZuellig Pharma Holdings(本社:シンガポール、以下Zuellig Pharma)がDeCYFIRを採用したことを発表しました。 AIを活用した脅威インテリジェンスプラットフォームにより、お客様は外部脅威環境を可視化し、ハッキングキャンペーンを早期に発見することでサイバー攻撃を事前に回避することができます。 約18か月間に及ぶコロナウィルスのパンデミックにより発生した混乱に乗じて、世界中のヘルスケア企業がサイバー犯罪の被害を被ってきました。弊社リサーチチームの調査によると、ヘルスケア業界を対象としたサイバー攻撃は2020年内に2倍以上の増加を見せ、ワクチン開発研究や関連サプライチェーンをはじめとするコロナウィルス対策関連組織がこうしたサイバー攻撃やキャンペーンの最大の標的となっています。 Zuellig PharmaはCYFIRMAが提供するDeCYFIRを活用することで、サイバーセキュリティ態勢をさらに強化し、自社に対するサイバー攻撃の計画初期段階で早期にそれらを特定、ハッカーがネットワークに侵入する以前に脆弱性対策などの対応措置を実行することができます。DeCYFIRは、ダークウェブ、ハッカーフォーラム、各種クローズドコミュニティを監視しています。ビジネスの混乱や脅威をもたらす可能性のある、脆弱性の悪用を計画する攻撃者の行動や言動などの攻撃の予兆を検知し、外部の脅威環境を可視化することができます。 Zuellig Pharmaの技術部門のVice PresidentであるMike Brewsterは次のように述べています。 「治療薬を最も必要とする患者様に確実にお届けするという企業ミッションに基づき、最先端の冷凍管理設備を保有、運営し、また革新的でデジタル化されたプロセス管理により温度に敏感な薬剤を管理しています。このように急速に変化するヘルスケア業界の脅威情勢は、ヘルスケアや製薬企業がデジタルトランスフォーメーションを推進する過程において、より一層ダイナミックな手法でサイバーセキュリティを管理、展開する重要性を示しています。DeCYFIRは弊社を標的とする悪意ある活動に関しリアルタイムのインサイトと早期警告を提供し、サイバーリスク対策を効果的に支援してくれます。」 CYFIRMAのファウンダー兼CEO のKumar Riteshは次のように述べています。 「アジア有数のヘルスケア企業であるZuelligPharmaに貢献し、DeCYFIRをご提供できることを大変に光栄に感じています。DeCYFIRは知的財産の侵害や企業スパイ行為によりビジネスの混乱やブランドや評判の失墜をもたらす攻撃者のサイバー攻撃の回避に向けて、非常に重要な役割を果たすことができると考えています。昨今、サイバー犯罪は急速な拡大と増加を見せており、企業にとってサイバーセキュリティ戦略や対策をどのように管理していくかを改めて再検討する余地があることを明示しているとも言えます。DeCYFIRが誇る高度な攻撃予測能力によって、攻撃者への対策において皆様が最も切望される優位性を手にすることができます。」 ZuelligPharmaについて Zuellig Pharmaはアジア有数のヘルスケア企業グループとして、より多くの患者様や地域に向けヘルスケアの利便性をさらに高めていくことを企業ミッションに掲げています。近年、アジア地域においてますます高まるヘルスケアへの需要を支援するため、世界的なサプライチェーン、デジタル及び商用サービスを提供しています。創立100年を迎え全世界で12,000人を超える従業員を有し、13地域におよぶマーケットで事業を展開、130億米ドルの売上を持つグローバル企業へと成長しました。また全世界で35万を超える医療機関にサービスを提供、世界上位20社の製薬企業をはじめ1,000を超えるお客様と協業しています。最近ではアジア地域の緊急度の高いヘルスケア・ニーズに対応する新たなサービスとしてZuellig Health Solutions Innovation Centerを立ち上げたほか、各種データ、デジタルサービスの提供、疾病管理ソリューションの開発や慢性疾患を持つ患者様を対象とした支援や医療費管理の支援といったビジネスなどに注力しています。 CYFIRMAについて…
脅威インテリジェンス活用の考え方 -2- 前回のブログでは、脅威インテリジェンスを活用するために以下の流れがあると紹介しました。 0. 自組織の脆弱性を認識する 1. 脅威を認識する 2. 脅威を理解する 3. 脅威の影響、リスクを考える 4.脅威の特定、影響度と優先度の決定、対策の検討 5. 活用・提供 今回はフェーズ0とフェーズ1の詳細を見ていきます。 0. 自組織の脆弱性を認識する 脆弱性というとパッチを適用するようなシステムに関するものが想起されますが、ここでいう脆弱性はもう少し幅広い意味を持っています。組織にとって脆弱性となり得るものはシステムのみならず社会環境、属する業界、人、組織、プロセスなどが含まれます。 例えば、日本の企業というだけで、地政学的に日本に関心を持つ国家支援型ハッカーグループの標的とされます。重要インフラ事業者はもちろんのこと、業界において画期的な技術を持っている企業や発言にニュースバリューのある経営者などは攻撃者の注目を集めやすい存在です。また、攻撃者はターゲット企業を直接狙うだけではなく、ターゲット企業のサプライチェーンの中でシステム管理の弱いところや技術開発においてITリテラシーの低い管理者がいる場合、そこが脆弱性となり得ます。 企業において、サプライチェーン全体や開発委託先まですべての脆弱性を管理・監督することは困難ですが、以下の観点から脆弱性認識を取り組んでいただくことを推奨します。 ・まずは自組織において、どんな点が脆弱性となりそうかを書き出してください。その際には、システム的な側面のみならず、自社を取り巻く環境から人やプロセスなど幅広い観点で捉えていくことが重要です。 ・この活動は、危機管理室やリスク管理部門などの活動と重なる部分もありますので、そのような部門と連携することでより網羅的な情報になります。 ・組織内の情報だけではなく、外部からの視点も重要です。外部から見た場合に、自組織が属する国や業界がどう見えているのか客観的視点で把握するためにニュースや業界分析レポートに目を通してみてください。攻撃者もそういった情報を定期的に確認することでターゲットとする国・業界・企業を選定しています。また国内のみならず、海外のニュースやメディアで自国や業界のトピックがどう取りあげられているかを確認することが、より攻撃者視点で役に立つ可能性があります。 1. 脅威を認識する 脅威を認識する方法は以下の4つの方法があります。 ①自社で発生したインシデントを調査する ②外部ソース(主に一般的な公開情報)から目立った脅威を認識する ➂国内や同業他社のインシデントを認識する ④外部機関からの情報提供をうける…
CYFIRMA、サイバー脅威情勢の可視化とサイバーセキュリティ強化を実現するプラットフォーム「DeCYFIR」を三菱自動車に提供 三菱自動車はCYFIRMAが提供するプラットフォーム「DeCYFIR」を活用しサイバー脅威を予見、差し迫った攻撃を回避、知的財産侵害を事前に防止 日本-東京/シンガポール -2021年6月15日-サイバー脅威の可視化とインテリジェンス分析のプラットフォーム提供企業であるサイファーマ株式会社(本社:東京都千代田区、以下CYFIRMA)は、本日、三菱自動車工業株式会社(本社:東京都港区、以下三菱自動車)が、CYFIRMAが提供するクラウドベースのAIを活用したサイバーセキュリティプラットフォーム「DeCYFIR」を採用したと発表しました。同プラットフォームは外部のサイバー脅威状況を可視化し、起こり得る攻撃に備え、企業の知的財産の侵害を未然に防ぐことに活用されています。 三菱自動車は、運転支援システムや電気自動車、コネクテッドサービスをはじめ高度な技術を保有する日本企業を標的としたサイバー犯罪者の増加に対し、その防御に十分な対策を講じる必要性を感じていました。 三菱自動車は 、CYFIRMAの「DeCYFIR」の活用により、ダークウェブを監視し同社ビジネスに脅威を与えるおそれのあるハッカーの活動や会話内容を追跡することで、外部のサイバー脅威情勢を把握することが可能になります。三菱自動車は、こうした機能を活用し、様々なビジネスユニットに横断的に設立したサイバー脅威収集ならびに分析を目的としたコンピュータセキュリティインシデント対応チームと連携の上、同社のサイバーセキュリティ態勢を一層強化し、ビジネスのレジリエンスを飛躍的に高めていく予定です。 「お客様の安全と情報を守ることは弊社の最優先事項です。近年増えているサイバー攻撃への備えとして、サイバーセキュリティに関する脅威情報を収集し分析するにあたって、CYFIRMAは最適なパートナーであると確信しています」、三菱自動車の管理本部情報セキュリティ室長、山根義則氏はこのように述べています。「DeCYFIRは弊社のサイバーセキュリティ態勢を大幅に強化するプラットフォームとして、重要度の高い早期警戒に関するインテリジェンスを事前に提供してくれるため、セキュリティチームは、攻撃対象領域と脆弱性を早期に特定し、先手を講じることでリスク軽減に向けた対応策を迅速に実行することが可能になります」 CYFIRMA は、ディープウェブ、ダークウェブ、ハッカーフォーラムやその他クローズドコミュニティから収集された脅威指標の分析ならびに独自の調査に基づき、確率予測モデルと分析エンジンの活用によりサイバー攻撃を予測します。 CYFIRMAは脅威インテリジェンス情報を提供、サイバー攻撃の兆候が検知された時点で早期警戒情報を三菱自動車と共有するため、三菱自動車は知的財産の侵害をはじめその他の悪意ある活動を阻止するために迅速な措置を講じることができます。 「日本を代表する自動車メーカーである三菱自動車にこのように協力できることを誠に光栄に感じております」、CYFIRMAの創設者でありCEO のKumar Riteshはこのように述べています。「DeCYFIRを活用いただくことで、サイバー態勢を強化、保有する貴重な知的財産をサイバー攻撃や脅威から強固に保護しサイバー攻撃に対して先手を打ち、サイバー攻撃者に優位性を保つのに役立つと確信しています。昨今、ニュースのヘッドラインをサイバー犯罪や攻撃が飾ることはもはや日常的であり、誰に、どこで、そしていつ発生してもおかしなことではありません。業種に限らず、将来や今後を見据えた組織ではサイバーセキュリティを事後対応的に捉えてはおりません」 三菱自動車について 三菱自動車はSUVづくりのノウハウとラリーで培った四輪制御技術、そして電動化技術に強みをもつ自動車メーカーです。ルノー、日産とのアライアンスメンバーであり、日本をはじめ、タイ、インドネシア、中国、フィリピン、ベトナム、ロシアなどに生産拠点があり、グローバルで30,000名以上の従業員を擁しています。 2009年には世界初の量産EVであるアイ・ミーブ、2013年には世界初のSUVタイプのプラグインハイブリッドEVであるアウトランダーPHEVを発売するなど電動車普及に取り組んでまいりました。 2020年には新環境計画パッケージを策定し、脱炭素化社会の実現に貢献しながら、行動範囲を広げたい、さまざまなことに挑戦したいというドライバーの想いに応えるクルマづくりを推進しています。 三菱自動車の詳細については下記の同社Webサイトをご覧ください。 https://www.mitsubishi-motors.com/jp/ CYFIRMAについて CYFIRMAは脅威ディスカバリー&サイバーインテリジェンスプラットフォーム企業です。サイバーインテリジェンスを攻撃対象領域のディスカバリーおよびデジタルリスク保護と組み合わせることにより、予見的でパーソナライズされた、また必要なコンテキストを含む、アウトサイドインおよびマルチレイヤーのインサイトを提供します。クラウドベースのAIとMLを活用した分析プラットフォームを活用し、お客様がサイバー攻撃の計画段階で潜在的な脅威をプロアクティブに特定できるよう支援しています。ハッカーの視点と外部のサイバー情勢に対する深い洞察を提供する独自のアプローチによりお客様が迫りくるサイバー攻撃に適切に備えることをサポートしています。 CYFIRMAは数多くのFortune 500企業と連携しており、米国、日本、シンガポール、インドにオフィスを構えています。 公式サイト: https://www.cyfirma.jp/ (日本語) https://www.cyfirma.com/ (英語) 本リリースに関するCYFIRMA…
脅威インテリジェンス活用の考え方 -1- 脅威インテリジェンスはセキュリティ製品とは違い、”導入して完了”というものではありません。 セキュリティ製品であれば、自動で脅威をブロックしたりアラートを上げてくれますが、脅威インテリジェンスはメールやレポートを受け取るだけでは価値を有効活用することはできません。もちろん、収集・分析までは脅威インテリジェンスベンダー側で実施していますが、活用するためには利用する側でも手を動かす必要があります。以前ご紹介したCTIフレームワークでも活用/提供までのステップが明記されています。 図:IJIRTSによるCTI Frameworkを基に弊社編集 今回は、利用する側は、どのような考え方で脅威インテリジェンスの活用/提供を進めていけばよいのか見ていきます。が、その前に、「脅威」というものを取り扱うにあたって以下の方程式について簡単に説明します。 脅威×脆弱性=リスク この方程式はセキュリティリスクを考える上でよく見る方程式です。自組織の「リスク」を把握するうえで必要な要素が「脅威」と「脆弱性」になります。一言に脅威と言っても外部脅威には様々な要素があります。目に見える状態の脅威であれば比較的容易に対応可能ですが、地政学的な脅威や業界を取り巻く脅威、攻撃者の存在や攻撃手法など、残念ながら大きな被害をもたらす脅威は潜在的に存在しています。そして脆弱性ですが、脆弱性というとパッチ適用で解決する脆弱性を思い浮かべますが、ここでいう脆弱性はそれだけではありません。人もそうですし組織やプロセス、システムにおける侵害可能な欠陥なども含まれます。 このように、脅威インテジェンスベンダーから提供される脅威情報と自組織の脆弱性を正しく認識することで、自組織のセキュリティリスクを把握することに繋がるということを念頭に置いておく必要があります。 以上を踏まえたうえで、脅威インテリジェンスを活用するための流れを見てみましょう。 0.自組織の脆弱性を認識する 1. 脅威を認識する 2.脅威を理解する 3.脅威の影響、リスクを考える 4.脅威の特定、影響度と優先度の決定、対策の検討 5.活用・提供 フェーズ0は、脅威インテリジェンスベンダーから情報提供できるものもありますが、脆弱性はシステムに関するもののみならず、人・組織・プロセスなども含まれるため、基本的には組織内部で実施する必要があります。 フェーズ1および2は、主に脅威インテリジェンスベンダーの領域です。「認識」「理解」は利用する側で行うことですが、そのためのインプット情報は自分で収集するのではなく脅威インテリジェンスベンダーから得る必要があります。またここで入手する情報は、スキルを必要とする深い分析・読解を求めるようなものであるべきではありません。次のフェーズ3以降をスムーズに実行できるように整理された活用しやすい脅威インテリジェンスを利用してください。 フェーズ3以降は組織内部で行っていく必要があります。これ以降のフェーズをしっかり進めるためには、自組織のビジネス環境やIT環境に対する理解やリスクシナリオの検証能力、判断能力、報告能力が求められますが、逆に前のフェーズで有益な脅威インテリジェンスを得られていれば、脅威インテリジェンスの収集/分析能力やセキュリティ技術に対する深い知見は左程重要な要素ではありません。 このように、脅威インテリジェンスを活用するには、外部から情報を入手するだけではなく自組織でも実施すべきことがあります。潜在的な外部脅威を可視化することは脅威インテリジェンスベンダーに任せ、脅威インテリジェンスを活用する側では、得られた脅威情報と自組織の脆弱性からリスク、対応を考えていくことが必要です。 今回は、脅威インテリジェンスを活用するうえでの考え方をご説明しました。次回以降それぞれのフェーズについて詳細にご説明していきたいと思います。 CYFIRMAでは組織のセキュリティ戦略から戦術面まで活用できる、包括的な脅威インテリジェンスを提供しています。ご興味のある方は、どうぞお気軽にお問い合わせください。 CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています! ✧毎週火曜日に発行「Weekly Security Update」 CYFIRMAが独自で毎週発行している「Weekly…
デジタルトランスフォーメーションによりデジタルリスクは加速度的に増大しサイバーセキュリティ責任者は攻撃対象となったデジタルフットプリントの発見という難題に直面しています。デジタル流出リスクの検知速度が自社ブランドや評判、財務状況への損失や影響度を大きく左右するといえます。CYFIRMA提供のDeTCTでこうした被害や損害を最小限化することができます。 レポートのダウンロードをご希望される方は以下フォームに必要情報をご入力下さい。 追って、レポートのダウンロード用リンクをご送付いたします。 [contact-form-7 id="4976" title="CYFIRMA DeTCT datasheet"]
6領域で理解する脅威インテリジェンス 今回は、CYFIRMAが定義する6領域の脅威インテリジェンスを見ていきます。 脅威インテリジェンスは幅広く非常に多くの要素を含んでおり、脅威インテリジェンスをそのまま深く理解し活用するには相応のスキルが必要となります。CYFIRMAでは一般的な組織で活用しやすいよう脅威インテリジェンスを6つの領域にカテゴライズしています。この分類には企業における利活用の視点は勿論のこと、サイバー攻撃を仕掛ける攻撃者の視点を踏まえて定義しています。 図:CYFIRMAの定義する6領域の脅威インテリジェンス ATTACK SURFACE DISCOVERY(攻撃対象領域の調査) 攻撃者は攻撃ができそうなシステムを常に探索しています。攻撃者が今現在ターゲットとしている組織に対する探索は勿論のこと、将来攻撃を実行する際に使えそうな資産、侵入口となり得るシステムや攻撃者に利益をもたらしそうなシステムなどのリストを作成しています。 守る側の組織では、「攻撃者から見える自組織の資産」を常に把握し、自組織が把握していない外部公開資産がないよう管理することが重要です。 VULNERABILITY INTELLIGENCE(脆弱性に関するインテリジェンス) 「攻撃者が存在し」「攻撃対象となり得る資産があり」「脆弱性が存在する」と、それは組織のリスクとなります。残念ながら攻撃者の存在はコントロールできませんが、自組織の資産に関する脆弱性は対処可能です。自組織の資産に関する情報、例えば不要なポートの開放や稼働しているソフトウェアの開示など、攻撃者にとって有益になる情報は秘匿すべきでしょう。 守る側の組織では、「攻撃者から自組織の資産がどう見えているのか?」を常に把握し、攻撃者に不要な情報を与えないようシステムを管理することが重要です。 BRAND INTELLIGENCE(ブランドに関するインテリジェンス) 時として攻撃者は組織のブランドを悪用します。有名ブランドのSNSの偽アカウントにユーザーを誘導したり、BEC(ビジネスメール詐欺)やホエーリングなどと呼称されますが、役員や決裁者の名前を騙って取引先へのソーシャルエンジニアリングを実行することが常に行われています。 守る側の組織では、そういった悪用されやすい自社のブランドを理解しておくことも重要です。 SITUATIONAL AWARENESS(情勢認識) 攻撃者は多くのリソースを投じて、狙いを定めた国や業界の情報を収集し、必要に応じてターゲット企業を定め攻撃を実行します。彼らはどの業界でどのような最新技術が開発されたか?ある国でシェアが高いソフトウェアは何か?など常に最新の動向に目を配っています。 守る側の組織でも、自組織のリスクの高まりや攻撃者の動機を理解するために、攻撃者と同様に自分たちの国や業界、そして自組織がどう攻撃者から見られているか、自組織を取り巻く脅威情勢の趨勢を理解することが重要です。 DIGITAL RISK PROTECTION(デジタルリスク保護) 残念なことに、いくら自組織でセキュリティ対策を実施していても情報の漏洩は発生します。情報の漏えい元は自組織に限らず、取引先や雇用者、クラウドサービスなどから漏洩することもあります。 攻撃者はこの漏洩してしまった情報も活用します。彼らは常に公開された漏洩情報のデータベースや、リークサイト、情報共有サイトなどから情報を収集しそれを次の攻撃で悪用できないか考えています。 守る側の組織でも、この二次利用される可能性のある情報を定常的にモニタリングし対応することで、リスクを軽減することに繋がります。 CYBER INTELLIGENCE(サイバーインテリジェンス)…
当レポートは弊社のお客様へ21年5月19日に送付された注意喚起となります。 CYFIRMA調査 主要な社会的エネルギー・インフラ運用を標的とした大規模なサイバー攻撃により、米国の主要な石油、ガスパイプライン事業を展開するコロニアルパイプライン社は、東海岸のほぼ全域に及ぶオペレーション停止を余儀なくされました。同社がガソリン、ディーゼル、天然ガス、航空機燃料などの運搬に使用する約8,850 kmに及ぶパイプラインは湾岸から米国東部と南部に1日約250万バレル分の輸送に利用されます。 これまでに確認された情報によると、本ランサムウェア攻撃は対象企業を震撼させただけでなく、近年の米国エネルギー・インフラ関連を対象としたサイバー攻撃の中でも最も破壊的で広範囲にわたる大規模な混乱をビジネスにもたらしました。 この壊滅的な影響をもたらしたランサムウェア攻撃の背後に特定国家の関与や支援を推察するには時期尚早ですが、弊社調査チームはロシアの脅威アクターである“FIN11”が、単体もしくは”DarkSide”と連携し、コロニアル社に対してランサムウェア攻撃を展開した可能性があると考えています。 本注意喚起レポート概要は下記の通りです。日本語版抄訳の閲覧をご希望の場合は、以下のフォームより必要事項を入力のうえダウンロードください。 エグゼクティブサマリー FIN11脅威プロファイル コロニアルパイプライン社への攻撃と”DarkSide”との関係性 ランサムウェア攻撃へのFIN11の関係性 コロニアル社への攻撃に関するその他重要な更新事項 エネルギー産業を標的化する理由 推奨事項 攻撃存在痕跡(IoC) ランサムウェア攻撃者のファクトファイル 【レポート申し込みフォーム】 [contact-form-7 id="5174" title="CYFIRMA 注意喚起レポート Colonial Pipeline 攻撃"]
"戦略的" "統制的" "戦術的":3つのレイヤーで活用する脅威インテリジェンス 今回は、脅威インテリジェンスの活用について考えてみます。 我々のような脅威インテリジェンスを提供する会社はよく、脅威インテリジェンスは「戦略的(Strategic)」、「統制的(OperationalあるいはManagement)」、「戦術的(Tactical)」の3つレイヤーで活用ができると言っています。これは、言い換えると、「経営層」、「管理層」、「実務層」のそれぞれの方々で脅威インテリジェンスは活用することができ、さらに自社を守るためにはすべての層で活用すべきであるというメッセージでもあります。 この3つのレイヤーでの脅威インテリジェンスの活用について見ていきましょう。 図:3層で活用する脅威インテリジェンス 戦略的インテリジェンス 脅威インテリジェンスを活用するうえで最も重要な観点になります。経営層、管理層、実務層の間でセキュリティ戦略における円滑なコミュニケーションツールとして活用されます。 ・自社で顕在化したインシデント(セキュリティ製品からアラートが出たもの)の数値的なの報告に留まらず、ビジネスの世界と同じように、脅威インテリジェンスを用いて世の中の動向、脅威情勢について共通認識を持つ ・世の中の脅威情勢の変化、自社の脅威情勢の変化を受けて重点的に守るべき資産、組織を定義する ・自社が優先的に実施すべきセキュリティ対策について議論、共有する 個々のセキュリティ対策製品の機能や流行のセキュリティ対策製品について話しても、三3層の間で円滑なコミュニケーションをとることはできません。自社を取り巻く脅威情勢について経営層、管理層、実務層で共通認識を持つことで、自社のセキュリティ戦略の企画立案、効率的なセキュリティ対策の実施する手助けとなります。 統制的インテリジェンス 自社が晒されている脅威や狙われる可能性のある自社の資産を把握することで、サイバー攻撃のリスクを低減することができます。 ・自社を狙っている攻撃者の存在認識およびその攻撃者の動向、ターゲット業界、攻撃手法などを理解する ・攻撃者視点で狙われる可能性のある自社資産を特定する ・利用している資産に存在する脆弱性(公開されているポートや利用しているソフトウェアの開示など)を把握する ・特定のソフトウェアの脆弱性について攻撃者の利用動向、エクスプロイトコードの有無など付加情報をもとに脆弱性のリスク度合い把握する 漠然とセキュリティ対策製品を並べていても攻撃者から自社を守ることはできません。脅威インテリジェンスを用いて攻撃者の存在と自社の脆弱な状況を的確に把握することが、適切なセキュリティ対策を実施するために必要です。 戦術的インテリジェンス 俗に言うTTP(Tactics, Techniques and Procedures:戦術、技術、手順)やIoC(Indicator of Compromise: Hash、IPアドレス、URL)です。これらの脅威インテリジェンスは以下のように活用することができます。 活用するうえで最も重要な観点になります。経営層、管理層、実務層の間でセキュリティ戦略における円滑なコミュニケーションツールとして活用されます。 ・セキュリティ対策製品にIoC IOCを連携し、検知・防御する ・セキュリティ対策製品が検知したIoC がどのようなものか脅威インテリジェンスを用いて調査する ・脅威インテリジェンスで得られるIoC を利用して自社内の攻撃痕跡を調査する ・自社を狙う攻撃者やマルウェアのTTPを利用して自社のセキュリティ対策で検知・防御可能か確認する 非常に実務的な内容ですが、TTPやIoC は様々な活用方法があります。ただ、世の中にある有償・無償のIoCを利用しても、大概が既にセキュリティ対策製品で検知できるIoCの場合があります。既に被害が公表されているマルウェアのIoCであれば、商用のセキュリティ対策製品であれば検知・防御が可能です。IoCを活用したセキュリティ対策を行うには、攻撃者が利用する前のIoCや攻撃者と相関分析を行っているIoCを提供する脅威インテリジェンスを利用することが有用です。 …
