業界トレンド
脅威インテリジェンスはすべての機械学習とAIの中核である
過去10年以上にわたり、主要なセキュリティ対策として、これまでに既知の脅威へのレスポンスを実行する目的でネットワークエッジに配備されていたのは、パッシブ型のセキュリティデバイスでした。このアプローチは、これまでに進化を続けてきており、現在も極めて多くの組織における主要なセキュリティ対策として利用されています。
現在の脅威は、極めて巧妙なものへと進化しています。これらの脅威は、検知の回避、承認済みソフトウェアの乗っ取り、本物のトラフィックに見せかけた偽装、さらにはネットワークやセキュリティデバイスの無効化が可能な設計がなされています。予防や検知、そしてレスポンスを確実に実行するためには、脅威の被害が発生する前に攻撃パターンを識別し、異常な振る舞いを検知して脅威を発見できるアクティブなセキュリティソリューションが不可欠です。その実現には、有効性と信頼性の高い脅威インテリジェンスが求められます。
外部の脅威インテリジェンスの品質は情報源に依存する
現在のほとんどのセキュリティデバイスは、シグネチャセット、検知アルゴリズム、および最新の脅威データを定期的に更新するために、外部の何らかの脅威フィードのサブスクリプションサービスを利用しています。脅威アクター(サイバー攻撃者)は戦略や手口の巧妙化や修正を継続的に実行することから、サブスクリプションサービスを使用しなければセキュリティツールの価値は時間とともにすぐに低下します。重要なのは、セキュリティデバイスそのものの先端機能の有無に関係なく、組織が実際に利用しているベンダーのセキュリティ研究者の専門知識が優れていること、そしてベンダーが提供する更新データの完全性と精度です。
大部分のセキュリティデバイスベンダーに不足しているのは、まさにこの点です。Ponemon Instituteの「2018 Cost of Data Breach Report:2018年版情報漏洩のコストに関するレポート(英文)」によると、ネットワーク侵害の脅威の平均潜伏期間は266日、データ漏洩の発生を検知するまでの時間は平均で197日であり、このようなセキュリティ侵害の封じ込めには、平均で69日も追加で必要であることが明らかになっています。このような対応の遅れの原因は、そのほとんどが品質の悪い脅威インテリジェンスにあります。
脅威インテリジェンスの価値は、ベンダーが利用可能なデータの規模などの要素に依存します。設置されているセンサーの数、設置場所、および収集するデータの種類も、すべて重要な要素となります。同様に、データの分析や独自のリサーチを行うバックエンドのセキュリティ研究者の人数、さらにベンダーが使用するツールやアルゴリズムの種類も極めて重要です。また、データを大量に収集している場合(実際、そうすべきです)、人工ニューラルネットワークを利用して、人による分析で見落としている可能性のある脅威の迅速な特定や評価を実施していることも重要です。
見識のあるセキュリティ責任者は、ベンダーが提供するデータのみに依存すると、犯罪行為は検知できないことを理解しています。内部での分析に使用するデータを補完するために、彼らが外部の脅威フィードのサブスクリプションサービスを利用しているのは、それが理由です。また、外部の脅威フィードはベンダー提供のフィードと同じ制約を受けるため、複数のサブスクリプションサービスを利用するケースも多数見受けられます。賢明なベンダーも同様です。フォーティネットがCyber Threat Alliance(CTA)の創設を推進した理由の1つは、当社の研究者が複数のデータフィードに確実にアクセスすることで、当社の脅威インテリジェンスサービスの精度を向上させるためでした。
未加工データの収集と合わせて問題となる点は、提供されるデータの利用方法です。既存のセキュリティツールへの統合が容易であることが理想的ですが、利用を開始する前に何らかの操作が必要な場合、適切なツールが配備されているか確認することが重要です。
内部の脅威インテリジェンスの収集と相関付け
外部データと同様に重要なのは、内部の脅威インテリジェンスの収集、相関付け、そして分析できる能力を備えていることです。ここで問題になるのは、設置されているレガシーのセキュリティデバイスの大半は、個別運用されていることです。もちろん、これらのセキュリティデバイスは大量のログファイルの生成機能や詳細なレポート機能を備えていますが、これらのデータを他のセキュリティデバイスと共有したり相関付けすることは容易ではありません。お使いのNGFWが、WAFまたはセキュアEメールゲートウェイとの通信機能を備えていない場合、これらのツール間のみに存在する重要な実用的インテリジェンスを得ることができない可能性があります。また大部分の組織では、最終的に手作業で異なるツール間のログファイルやレポートを相関付けしているため、リスクやセキュリティ侵害のわずかな兆候を容易に見落としてしまうことになります。
セキュリティツールは、少なくとも脅威インテリジェンスの収集、相互共有、そして相関付けをサポートしている必要があります。その結果、問題を迅速に特定できるだけでなく、これらのツールが連携してイベントへのレスポンスを開始することが可能になります。さらに、これらの詳細情報やデータは、分散型ネットワークであるSD-WAN接続、SD-Branchネットワーク等のすべてのセグメント、モバイルエンドユーザーやIoTデバイス、そしてマルチクラウド環境のすべてのインスタンス間で共有し、相関付けに対応できる必要があります。
また、SIEMツールはさまざまなソースからの脅威インテリジェンスの収集や相関付け、効果的な脅威へのレスポンスのオーケストレーションにおいて、重要な役割を果たします。これらの要素は、最終的には脅威やネットワーク活動のさらに詳細な相関付けや分析が可能なNOC / SOC環境にすべてフィードできる必要があります。
脅威インテリジェンスはすべての機械学習とAIの中核である
ただし、これはスタートに過ぎません。次世代のセキュリティのほぼすべての要素では、脅威インテリジェンスの生成、詳細な分析、そして相関付けが必要です。しかし、現在のフィードベースのシステムは依然として少々原始的だといえます。機械学習システムに対して適切な量のトレーニングとデータ提供を行うと、脅威のパターンを検知して対抗措置や防御のシナリオの作成が可能になります。セキュリティシステムは、AIと組み合わせて侵入者の次の動きを予測することによって、侵入をプロアクティブに自動遮断したり、システムを標的にしている可能性のある脅威や使用される脅威ベクターを予測し、攻撃の開始前であっても阻止することができます。
これには2つの要件があります。1つ目として、現在の攻撃のスピードに対応するには、データをローカルで収集し分析するだけでなく、意思決定もローカルで自律的に行うことが不可欠です。2つ目は、情報を中央システムで共有することで詳細な評価、初期レスポンスの改善や更新を可能とし、警告やレスポンスをネットワーク全体にオーケストレーションできるようにしておくことが重要です。
情報共有が不可欠である
最後に、これは強調し過ぎとなることはありませんが、正当なビジネスを標的としたサイバー犯罪に対して確実な優位性を維持するためには、個々の組織レベルからCyber Threat Allianceなどのクロスベンダー組織に至るまで、当事者全員があらゆるレベルの情報共有に参加する必要があります。脅威インテリジェンスの正確性が改善すると、ネットワークを保護するだけでなく、他のAIの精度も向上可能になります。少なくとも、業界や地域の情報を共有するISAC(情報共有分析センター)などの業界団体の1つに参加することを検討し、セキュリティイベントをご利用中のベンダーと共有し、ベンダーのプロセスも同様に改善することが極めて重要です。
セキュリティ ドリブン ネットワーキング戦略の準備
現在進行中のデジタルトランスフォーメーションによって引き起こされるネットワークやビジネスの変化への対応をさらに推進するためには、さまざまなソースから提供される信頼性の高い実用的脅威インテリジェンスをネットワークそのものに直接組み込む必要があります。セキュリティ ドリブンなこのアプローチにより、極めて流動的で高度に分散したネットワーク環境で発生する分刻みの変化に自動適応し、動的なレスポンスが可能なセキュリティが実現します。個々の物理デバイスや仮想デバイスを緩やかな集合ではなく単一のシームレスな集合体として機能するように設計され、相互連携と緊密な統合がなされたセキュリティ ファブリックを構築し、この新しい第3世代のセキュリティの準備に今すぐ取り組むことが重要です。
FortiGuard Labsが提供するAIを統合したシステムによる優れたセキュリティおよびインテリジェンスサービスの詳細をご覧ください。FortiGuardセキュリティサービスの詳細なポートフォリオを御覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英語)を毎週お届けしています。ぜひご購読ください。
