膨大な脅威インテリジェンスを活かすとセキュリティ水準はどう変わるのか?ホワイトペーパーから、詳細を確認してほしい。 |
ニュースになるほどの大規模なサイバー犯罪が後を絶たない。近年ではその巧妙さにより磨きがかかり、リテラシーの高い人、高度なセキュリティポリシーを敷く組織でも被害に遭うケースが散見される。テクノロジーによる対策もいたちごっこが続いている状況だ。たとえファイアウォールやIPSなどでセキュリティ対策をしていても、それらをすり抜けて攻撃されるケースが存在する。
そのような中、日本の情報セキュリティサービス業界大手のラックが提供しているサービスがある。膨大な脅威インテリジェンスを分析しサイバー攻撃の被害を未然に防ぐことを促す、「Recorded Future」である。本稿では、慶應義塾で導入された実例から、同サービスの特徴を紹介する。
ラック提供資料
サイバー脅威の検知や対応の自動化を実現!
慶應義塾が取り組む脅威インテリジェンスの活用
> > 資料ダウンロードはこちら
膨大な脅威インテリジェンスと高い柔軟性を誇るプラットフォーム「Recorded Future」
一般的に、サイバーセキュリティ対策は3ステージに分類して考えることができる。あらかじめ攻撃を防ぐ「予防」、攻撃されていることを検知する「発見」、攻撃された後に元の状態に戻す「回復」の3ステージである。
本稿で紹介している「Recorded Future」は、今述べた中でも予防に分類されるサービスだ。ダークウェブを含む膨大な情報源から、あらかじめ自社にリスクを与える情報を抽出し、インシデントの発生を防ぐのである。
いくら品質の高い情報が膨大にあったとしても、活用できなければ全く意味をなさない。たとえば膨大なログの中から必要な情報を検索するとしよう。もしも検索できる項目が固定されていて、手動でフィルタリングが必要だったり検索する際に決まった形式でクエリを組み立てる必要があったりすると、必要な情報を抽出するだけで苦慮する。
「Recorded Future」のポイントは、過去10年にわたる膨大かつ高品質な蓄積情報と、その検索自由度の高さにある。Webインタフェースを採用しており、検索窓からキーワードによる自由検索を行うことが可能。データは蓄積前に自然言語解析されて格納されているため、検索速度も迅速だ。
同サービスを実際に利用する慶應義塾の細川 達己氏はこの検索性について、「脅威の検知やインシデント対応をしていると、OSINT 情報を使ってある現象について深堀りしたいというシーンが多くあります。そのような、こちらから何かアクティブに検索したいというときに一番便利に使えたのがRecorded Futureでした。Webインタフェースの検索窓から柔軟にキーワードを入力でき、検索数に限りがないことも魅力でした」と、高く評価。さらに、APIも同様に柔軟性が高く、既存システムと容易に連携が可能だという。
「Recorded Future」には、上の図にある各種情報源から機械学習を利用して蓄積された情報に加えて、ラックのアナリストが、有用なソースの追加をリクエストし、随時情報を補強している。データの信頼性は極めて高いと言えるだろう。慶應義塾は同サービスの導入により、インシデント対応の高速化やAPIを活用した脅威検知の自動化などの成果がでている。
* * *
ダウンロード資料では、慶應義塾が同サービスを導入するに至った経緯やその理由、導入による効果が詳細に紹介されている。脅威情報を活用したサービスを検討するならば、ぜひ参考にしてほしい。
ダウンロード資料のご案内
ラック提供資料
サイバー脅威の検知や対応の自動化を実現!
慶應義塾が取り組む脅威インテリジェンスの活用
> > 資料ダウンロードはこちら
[PR]提供:ラック