脅威インテリジェンスに携わるようになって1ヶ月が経過しました。まだ初学者の域は抜け出せていないため、引き続き色々なことに興味と疑問を持ちながら精進したいと思います。

携わり始めたばかりの2週間は、これまでの経験が邪魔をしていたようで、脅威インテリジェンスの基本的な考え方が間違っている状態で新たな事柄を頭に詰め込んでいて行き詰まっていました。

改めて、脅威インテリジェンスの大前提となっている考え方を整理したいと思います。

サイバーセキュリティ対策の根源的なゴールはリスクを最小化することです。ではリスクとは何でしょうか？今一度リスクを因数分解してみます。

リスク ＝ 脅威 x 資産 x 脆弱性

サイバーセキュリティ対策には2つの方法に大別されていると言えます。

1つ目の方法は、資産と脆弱性にフォーカスした対策です。資産とは、データセンターやクラウド上のソフトウェア資産のことで、仮想マシンやコンテナ、それらの環境に配備されたアプリケーション等が該当します。

ソフトウェアで実装された資産には脆弱性が付き物で、どんな資産にも必ず脆弱性が潜んでいます。

資産と脆弱性にフォーカスした対策は、自社がどんな資産を持っていて各々にどんな脆弱性が潜んでいるかを継続的に洗い出して、それらの脆弱性をつぶすことで、リスクを軽減する方法です。

この方法は、資産管理ツールや脆弱性スキャナを使いこなすことで自社内で対策を完結できることが利点ですが、自社に起こり得る脅威は無視しているため、実際にどんな脅威によるどの程度のリスクがあるのかを把握することは不可能です。

2つ目の方法は、脅威にフォーカスした対策です。脅威とは、データセンターやクラウド上の脆弱性が原因で、実際に起こり得る攻撃等の総称です。

脅威は攻撃側が仕掛けることにつき、自社内だけで完全に管理することは不可能ですが、脅威インテリジェンスフィードやプラットフォームを利用することで、現在どんな脅威がなぜ起こり得るのかを把握することは可能です。

脅威インテリジェンスは、この脅威にフォーカスした対策が基本的な考え方となって成り立っています。

この考え方が頭の中に根付いていないと、脅威インテリジェンスにまつわるありとあらゆる事柄を頭に入れても混乱する、または間違って理解してしまうことになります。私がそうでした。

ASM(Attacke Surface Management) = 攻撃者からみた攻撃経路を可視化するソリューションに出くわしたときが最たる例でした。

数週間前まで、私の中で必ず生まれた疑問は"どうやって資産をスキャンしているのかな?"でした。これは脅威インテリジェンスの基本的な考えが根付いていないことの証です。

ASMは、データセンターやクラウド上の資産をスキャンして攻撃経路を可視化しているのではなく、脅威インテリジェンスフィードやプラットフォームが持つ膨大な脅威情報と、自社のコンテキスト(例/ドメインやIP)を突き合わせて分析・可視化しています。

資産や脆弱性を分析しているわけでは無いため、分析結果の深さには限界がありますが、攻撃者目線で実際にどんな攻撃が起こり得るかを包括的に把握することはできますね。

何事も、大前提となる抑えておかなければならない原理原則があるはずです。新しいことを学ぶときは、いつ何時も変わることのない原理原則をなるべく早く掴むべきですね。今回私は2週間近くかかりましたが。