攻撃を予測して先回りして対策を施す「攻めの防御」を支援するインテリジェンス。ここに来て、日本でも関連の製品やサービスが続々と登場している。攻撃の背景情報の取得はもちろん、監視の強化や傾向分析を支援する。使いこなすには分析能力の向上や現状システムの把握など受け入れ体制整備が欠かせない。
2015年後半から2016年にかけて、国内でも次々と「インテリジェンス」に関連する製品、サービスが登場している(図6)。
日本でインテリジェンス導入を引っ張るのが金融機関だ(図7)。会計監査や各種コンサルティングなどを手掛ける米プライスウォーターハウスクーパース(PwC)が、2015年5月から6月にかけて127カ国の1万人以上の経営メンバーやセキュリティ担当役員などにセキュリティに関する取り組みなどをアンケート調査した結果、分かった。「セキュリティ脅威と解析情報の定期購読サービス」の導入状況を聞いたところ、日本の金融機関の導入率は世界平均の49%を17ポイント上回る66%と高い水準だった。
調査を担当したPwCコンサルティングの山本直樹パートナーは「金融ISACから脅威情報を受けるだけなく、複数からインテリジェンスを購入するケースが多い」と話す。小売り・サービスは世界平均と同値。インテリジェンス活用が盛んなECサイトやゲームといったWebサービス事業者を含んでいる。
APIでもインテリジェンスを提供
脅威の高まりに応じて、幅広い業種で導入が進むと見込まれるインテリジェンス。ベンダーは以下の四つの方法で製品やサービスを展開する。(1)文脈的情報や観測事象を顧客に直接届けるインテリジェンス提供サービス。(2)これを監視サービスと組み合わせたもの。(3)インテリジェンスを分析・管理する製品。(4)インテリジェンスを軸にネットワーク製品からエンドポイント製品までを提供する統合サービスである。
インテリジェンス提供サービスの一例が、シマンテック日本法人が2016年2月から提供を始めた「DeepSight Intelligence Services」。2014年に米国、翌年に英国で開始し、100社・団体を超える顧客を獲得した。
1週間に4~5回、顧客ごとの専用ポータルサイトに日本語の報告書を配信する。報告書には「誰がなぜ、どんな手口で狙っているのか、キャンペーンなのか単発なのか、どんな被害が確認・予想されているのか」などを記載。日本に関連したインテリジェンスは週に1回程度盛り込む。
観測事象も提供する。ファイルやマルウエア、IPアドレス、メールなどの情報をレポートに記載し、企業で稼働中の防御システムで取り込めるようAPI(アプリケーション・プログラミング・インタフェース)でも提供する。
自社を狙った攻撃に関するインテリジェンスが欲しい場合は、アナリストに質問してレポートを受け取るオプションサービスを利用する。自組織で検知した攻撃の観測事象などを渡し、「誰が何を狙って攻撃をしているのか」「次にどんな攻撃が予測できるか」などを質問。2~3日で分析結果が返ってくる。
PwCサイバーサービスは、国内外から収集した収集・分析したインテリジェンスを基に、修正パッチが存在しない脆弱性である「ゼロデイ脆弱性」など緊急度の高い脅威・脆弱性情報を含む「脅威・脆弱性情報提供サービス」を用意する。指定のソフトウエアに限定した脆弱性情報の提供や、利用者からの問い合わせに応じるオプションもある。
米ヒューレット・パッカード・エンタープライズは、米クラウドストライクなどとインテリジェンスの共有を進めている。2015年には、この枠組みに日立製作所が加わった。日立が集める日本やアジアのインテリジェンスを加えて、体制を強化すると見られる。
日本IBMは製品のログやアラートを相関分析して攻撃の痕跡をあぶり出すSIEM(セキュリティ情報イベント管理)製品に力を入れる。志済聡子セキュリティー事業本部長執行役員は、同社の「Qrader」を「インテリジェンスをアナリティックに誘導できる技術」と位置付ける。IBMのインテリジェンスは、世界9カ所のセキュリティ研究機関「X-Force」が所有する700テラバイトを超えるデータ。SIEMには、X-Forceの知見を350個の分析ルールとして反映している。
5月10日には米本社で「IBM Watson forCyber Security」を発表。既存インテリジェンスなどを学習し、「隠れたサイバー攻撃やサイバー脅威のパターンと根拠を発見」できる効果を見込めるという。2016年内にグローバルでベータ版を提供する予定だ。