サイバースレットインテリジェンスと法執行機関から学ぶこと 

はじめに

サイバーセキュリティに関する被害がメディアの目から逃れることはまれです。攻撃側の巧妙化が進んでいることから、組織が認知し、対抗する頃には手遅れで、すでに相手の攻撃に陥っていることがほとんどです。今日、サイバー攻撃に対して、その予防策を講じることは、投資効果も比較的高く1、顧客重視の行動2であるにもかかわらず、サイバー攻撃を予測する能力を有し、予防戦略を導入している組織が少ないのが現状です。


サイバー攻撃は新たな脅威ではありません。1990年代初めには、すでにハッカーが存在し、彼らは機密性の高い政府システムにも侵入してきました。致命的な被害をもたらすほどのセキュリティ侵害も数多く発生し、政府や企業の重要なインフラにも財務的、また物理的な被害が報告されるようになると、サイバー攻撃は人々の注目を集め始め、サイバーセキュリティへの注意も急速に高まりました。同時に、脅威の性質も変化してきています。我々の最新の調査では、データ損失に関する原因のうち67%が外部からのハッキングによるものであり、内部からの脅威は過去最低水準となったことが明らかとなっています3

 

サイバーセキュリティ環境は絶えず進歩しています。一方で、民間企業や公共セクター企業の意識は変わらず、依然として自分たちがサイバー攻撃の標的になるとは考えていません。しかし、この意識を変えて、「最強の攻撃こそ最大の防御」であることを認識する必要があります。ただし、もはや防御のみに依存することはできません。標的を定めた敵はいずれ防御を突破します。したがって、組織は攻撃下にあること、もしくは攻撃の可能性を事前に検知できるように、自身の周りで起こっている状況を常に把握する必要があります。つまり、インテリジェンス(知的情報分析、もしくは、それを行うために必要なる情報・知能)能力とそれに伴う洞察力を持つことが次世代の情報セキュリティの要となるのです。

 

インテリジェンス能力によって、組織は潜在的な脅威や脆弱性を特定することが可能となります。また、「攻撃対象ウィンドウ」を最小限に抑えることが可能となり、敵がネットワークにアクセスしてから発見されるまでの時間的余地を限定することができるのです。この方法を採用している組織は、サイバー攻撃の脅威対策であるスレットインテリジェンスが、サイバーセキュリティ投資とオペレーションリスク管理をともに推進させる「メカニズム」だと捉えています。

 

サイバースレットインテリジェンスを提供する企業は増加しており、今となっては、スレットインテリジェンスのコンセプトは広く知られるようになりました。サイバーセキュリティ攻撃への意識の高まりこそは望ましいことですが、我々の経験からすると、今日、多くの組織に求められるものは、スレットインテリジェンスの真の価値を発揮するためのインテリジェンス管理の基礎です。これは、この手法の信頼性を経営陣へ浸透させる上で必須条件であり、また、常に進化を続けるサイバーセキュリティ環境において、企業が新たな脅威に臨む際、その準備を迅速に整えるためにも不可欠なものとなります。

 

また、法執行機関や各諜報機関をみると、そこからも多くの知見を得ることができます。たとえば、このような組織ではサイバーセキュリティにおいて、インテリジェンス主導の意思決定こそが企業文化や事業の要となるべきだと従来より認識しているのです。

 

KPMGメンバーファームは、法執行機関と共に様々な事案を解決し、リーディングプラクティスや陥りやすい罠などのインテリジェンスに関する知識と経験を高めてまいりました。

 

そして、我々は、以下の三原則が、顧客、株主、従業員において、組織が積極的にサイバー攻撃対策を講じ、そのリスクを最小限に抑えるために役立つものと考えています。

 

  •  インテリジェンス主導の意識の創出
  •  インテリジェンス運用モデルの導入
  •  インテリジェンス主導の意思決定プロセスの構築

 

原則 1 – インテリジェンス主導の意識の創出

インテリジェンス主導の意識をもつことで、サイバー攻撃における、脅威、脆弱性、コンプライアンス、リスク、対抗措置、そして成果といった動的要素に直接的なつながりを築くことができます。その第一歩として、次のような単純かつ基本的な質問を継続的に問いかける必要があります。

 

  •  我々はどのようなサイバー攻撃にさらされるのか?
  •  サイバー攻撃により、我々の貴重な情報資産にどのようなリスクがあるのか?
  •  我々はどう対処すべきか?
  •  我々の対処法はどの程度有効か?

 

しかしながら、サイバー攻撃のリスクが増加し続ける状況において、多くの経営陣はこうした問いかけをしていないか、していたとしても満足のいく答えを得ることができていません。その理由は、最初の質問に対する答えが、実は最も難しいためなのです。というのも、サイバー攻撃の可能性や事業への影響を数値化や事実化しようとすれば、それはとても困難な作業となるからです。したがって、「インテリジェンス」の主眼は、攻撃者に関する事実的な情報分析ではなく、攻撃の兆候や影響に関する状況的な情報分析におくべきなのです。

 

この点を履き違えてしまうと、経営陣の多くは、脅威の性質を正しく認識することができず、サイバーセキュリティは技術的な問題だという誤った認識をしてしまいます。その結果、サイバーセキュリティ管理は概してIT部門のみに特化され、組織全体のリスクを低減するために必要な全社的な対策を講じることはできなくなるのです。

 

したがって、適切な対抗措置を講じるためには、まず、経営陣の意識から変える必要があります。そして、サイバーセキュリティ関する課題に論点を置き、全社的なリスク戦略の一環として議論に組み入れることが非常に重要になります。そうすることで、各担当者たちは既存のサイバーセキュリティ戦略とのギャップを迅速に特定することができるようになり、サイバー攻撃に対処するための全社的なアプローチとすることができるのです。

 

原則 2 – インテリジェンス運用モデルの導入

インテリジェンス主導の意思決定プロセスを組織に組み入れるためには、第一に、インテリジェンスモデルの基礎を作り上げなければなりません。法執行機関は、インテリジェンスを収集、分析し、それに基づいて活動するための高度なシステムやプロセスを備えています。しかし、その様態こそ多彩であるものの、それらを構成する個々の要素は、いずれもインテリジェンス能力の開発を求めるすべての組織にそのまま適用できるものばかりなのです。

 

以下に示す基本的インテリジェンス運用モデルは、法執行機関におけるインテリジェンス管理システムとプロセスの改善における我々の経験に基づくものです。当レポートでは、主に、基本インフラを形成するプロセスに焦点を当てています(構成要素2)。

 

Figure 1

 

インテリジェンス要件の確立

すべての脅威に対処することのできる資源を有している組織はありません。そこで、法執行機関のように、想定される脅威対して優先順位を定め、それに応じて限られた資源を適切に配分することが求められます。

 

サイバー攻撃による脅威の捉え方においても、先を見据ている組織では、業種別フレームワークを採用し、脅威を分類することを始めています。同時に、これは体制の脆弱性と情報損失にともなう潜在リスクを特定することにもなります。そして、優先して守られるべき資産、想定される脅威、そして体制の脆弱性を正しく認識することで、インテリジェンスの収集につなげることができるのです。

 

さらに、法執行機関が公共の保護を目的としてインテリジェンスを利用するように、民間企業においても自身が持つ情報資産、顧客情報の保護のためにインテリジェンス利用することが求められます。このことは、社会的責任を果たすことだけでなく、延いては株主価値の保護にもつながることになるのです。

 

Figure 2

 

関連情報の収集

情報を一つにまとめ、顕在化する問題に対して多面的に焦点を当てて分析に臨むためには「連携」が鍵となります。

 

有効なインテリジェンスの構築に向けた最初のステップは、関連情報の収集です。これは、多種多様の情報源から有用な情報を判別・集約する労力と費用が必要となるため、予算全体の大部分を占めることになります。関連情報の収集に多くの労力を費やす理由には、サイバー攻撃による脅威が全世界的に広がっていることに加え、組織が自社システムに保持している大量のデータからサイバー攻撃者に関する情報などの有益な情報を探り出す十分な技量を備えていないことが多いからです。尚、有益な情報には、攻撃者が使用するツール、技術、そして、手法などを知る手掛かりとなるデータが挙げられます。

 

さらに、セキュリティ攻撃の本質は複雑であるため、その全様を明らかにすることは困難です。得られた関連情報を一つにまとめ、顕在化する問題に対して多面的に焦点を当てて分析に臨むためには「連携」が鍵となります。

 

とはいえ、効果的な連携を生み出すことも大きな課題のひとつです。というのも、自社のブランドに不利になりうる情報の共有には慎重になる企業もいます。また、機密性の高い自分たちの事業に関する情報に対する法執行機関の取扱いに不信感を抱く企業もあります。しかしながら、進化するサイバー脅威に対抗するためには、この課題を乗り越えることは不可欠です。

 

インテリジェンス創出のための情報分析

単純なことのように思えるサイバー攻撃に関する情報保管や情報調査を適切に実施できている組織は多くありません。

 

第一ステップである関連情報の収集を終えると、次に系統的分析を行うことが重要になります。ここではその3つの特徴について説明します。

 

1.複数のシステムにまたがる相関データを特定する能力

一見、単純な作業のように思える相関データの特定ですが、事実、この作業を容易に実施できている企業は多くありません。というのも、サイバー攻撃に関する情報を適切に保管できていないため、結果として相関データの調査も行えていないのです。また、情報保管に費やす高いコスト対する反対意見もこのステップを難しくする一因として考えられますが、むしろ、相関情報を特定する能力が組織に欠如していることが、このステップを難しくしている主因であることが少なくありません。

 

今日、サイバーセキュリティに精通した組織では、各システム間を行き交うデータの動きをモニタリングし、そのパターンや傾向から疑わしい行動を見抜き、そして、潜在的な脅威を特定するといった一連の分析ツールの導入を検討し始めています。

 

2. 脅威に関するプロファイルを構築するための分析的フレームワークの利用

多くの法執行機関やインテリジェンス組織では、加害者、被害者、財産、場所、時間という観点から情報を分析しています。これらは、次のような視点をもつことで、そのままサイバー攻撃に対して適用することができます。

 

加害者:攻撃に関与する人々・組織について何を知っているか?彼らの犯罪手口はどのようなものか?とりわけ、加害者のプロファイリングは極めて重要で、その後の分析すべてに影響します。

 

被害者:サイバー攻撃の標的となるものが事業活動の中にあるか?ある特定の事業ユニットが攻撃されているか、もしくは他のユニットと比較して標的にされやすいか?

 

財産:保護するべき情報資産は何か?それらの資産を保護する上で想定されるリスクは何か?

 

場所:保護するべき情報資産はどこに保管されているか(物理的及び仮想的)?現在の保護体制はどのようなものか?すでに攻撃されている特定のサーバーはあるか?

 

時間:サイバー攻撃について時間的なパターンがあるか?また、情報資産の保護体制において脆弱性が高まる特定の時間帯はあるか?

 

3. 企業のニーズに合わせてカスタマイズできるインテリジェンス実施体制とレポートの柔軟性

インテリジェンスを有効なものとして維持するためには、脅威に対抗するための要件を明らかにし、その実施体制の有効性と妥当性を定期的に見直す、慎重かつ継続的な確認作業が必要です。

法執行機関やインテリジェンス組織で頻繁に用いられるリーディングプラクティスから分かることは、高度化する対抗要件を適宜取り込み、また、緊急のニーズに対処できる動的で柔軟なプロセスを有していることが極めて重要だということです。それと同時に、インテリジェンス機能はプロセスの効率性を高める上で、自動化されていることも重要です。とりわけ、複数の顧客をリアルタイムでつなぐようなインテリジェンスの「フィード(入力)」には、自動化は不可欠となります。

 

インテリジェンスに基づく行動

インテリジェンス体制の有効性を調べる最善のテストは、その体制がサイバーセキュリティリスクに対して直感的、かつ適切な判断を促すことができるかどうかです。法執行機関や企業のいずれにおいても、求められる判断は以下の通りです。

 

  •  いつ行動するか?
  •  どの戦術的オプションを遂行するか?
  •  そのオプションは有効に働いているか?

 

これらの判断要素は、サイバー攻撃者に対して攻撃的な行動で対処しようとする組織にとってとりわけ有用です。ひとたび攻撃を受けると、攻撃を回避して損失を最低限に抑えるか、または、敵に関するさらなる情報を得るために、敢えてその攻撃を受け入れて監視をするか、という判断に迫られます。ここは重要な決断のひとつとなるのですが、サイバーセキュリティに精通した組織では、予めおとりが用意されており、それを使って敵からさらなる情報を引き出すという手法を用いることもあります。

 

原則 3 – インテリジェンス主導の意思決定プロセスの構築

法執行機関やインテリジェンス組織では、インテリジェンスは主たる事業上の意思決定を直接的に促す情報源となっています。しかし、すべての企業の経営陣がこのような体制をとっていることはありません。この場合、経営陣は重要な意思決定に重大な影響を及ぼしうるサイバー攻撃の脅威について明確に把握していない可能性があります。

 

2012年ロンドンオリンピック組織委員会(NOCC)が、優れたインテリジェンス能力をもって英国の警備体制の統制ついて意思決定を行ったことは、とても良い例のひとつです。

 

NOCCでは、1日2回のタスク調整会議を通じて毎日の方針を設定していました。この会議のサイクルの中で、シニアオフィサーたちは継続的に最新のインテリジェンス状況をレビューし、新たな脅威を緩和するために必要な資源を適切に配分することに成功したのです。この事例から学ぶべき点として挙げられることは、インテリジェンス体制が重要な意思決定のテンポに調和していることが、インテリジェンスを意思決定の中核に据えるために重要だということです。

 

さらに、権限の所在が明確になっていることも重要です。NOCCのインテリジェンス会議では、法執行機関のシニアオフィサーが議長を務め、動的に資源配分を行う権限(必要に応じて委任されて)を有していました。

 

このことから、企業においても従来の体制には必要がなかったとしても、経営陣が、新たなサイバー攻撃に対する認識を持ったうえで、対抗手段の決定かかる必要な権限を有することは大変重要です。とりわけ、サイバーセキュリティという不可視な世界では、スレットインテリジェンスを有効に活用し、より積極的で的確な対抗措置をとることができる組織とならなければなりません。

 

KPMGとサイバーセキュリティ

KPMGのメンバーファームは法執行機関やインテリジェンス機関に対してインテリジェンス能力の設計及び導入を行ってきました。また、KPMGは世界各国の大手企業のサイバーセキュリティプログラムの設計にも携わっています。

 

これらの実績を通じて得られた知見をもとに、KPMGは効果的なサイバーインテリジェンス機能を構成する各要素の独自見解を有しています。

 

我々は、スレットインテリジェンスこそ効果的なサイバーセキュリティの中核となるものだと考えています。この考えの下、KPMGメンバーファームは、その企業の事業性に応じたモデルを設計し、組織に組み込むための支援を提供します。そこには、クライアントが継続してサイバーセキュリティ能力を発揮することができる体制の構築を支援するという、目標があります。

 

 

Figure 3 

KPMGサイバーセキュリティサービシズは、情報保護、事業継承、リスク管理、プライバシー、組織設計、行動様式の変化、インテリジェンス管理の専門家を擁しています。これらの能力を駆使して、企業のリスク許容レベルや組織がさらされているサイバー攻撃の脅威に応じた戦略を策定します。

 

KPMGメンバーファームは、

 

  • グローバル – メンバーファームネットワークを通じて、KPMGは世界156ヶ国で152,000人を超える専門家を擁しています。クライアントの事業活動拠点がどこであっても、我々は十分な専門知識を提供することが可能です。
  • 受賞歴 – 英国KPMGは、2011年及び2012年のSCマガジン・ヨーロッパ・アワードで「ベスト情報セキュリティコンサルタント」に選ばれました。さらに、KPMGの情報セキュリティ・コンサルティングサービス能力は、Forrester Research, Incのレポート「The Forrester WaveTM:2013年第1四半期情報セキュリティ・コンサルティングサービス」で「リーダー」に挙げられています。同レポートで評価された10社のうち、KPMGは最も困難なコンサルティング事案を引き受ける意欲(他社から引き継ぐことも多い)についてとりわけ高く評価されています。
  • サイバーアジェンダの形成 – I-4を通じて、KPMGのサイバーセキュリティサービシズは、世界の大手企業と協力し、現在の、そして将来の重大なセキュリティ問題を解決するためのサポートを提供しています。
  • コミットメント – メンバーファームのクライアントとの関係は、相互信頼と効果的かつ効率的なソリューションを長期的に提供するというコミットメントの上に築かれています。KPMGのプロフェッショナルは誰にも負けないサービスを提供することをお約束します。
 

 

1. 例:http://money.cnn.com/2012/12/13/technology/security/bank-cyberattack-blitzkrieg/index.html

 

2. UK サイバー犯罪戦略、2010年3月

 

3. KPMGデータ損失バロメーター2012年