脅威情報共有の障壁を取り除く- サイバーセキュリティ強化のため大統領令を発令


脅威情報共有の障壁

脅威情報共有の障壁を取り除くため、ホワイトハウスが大統領令を発令しました。国家のサイバーセキュリティを改善するための最新のガイダンス-Executive Order on Improving the Nation’s Cybersecurity (EO), Section 2-では、脅威情報を共有する際の障壁を取り除くと説明しています。セキュリティパートナーやサービスプロバイダーが、侵害に関する情報を共有することを躊躇し、契約によって開示不可能なケースが多いことに触れています。この大統領令で、セキュリティパートナーやサービスプロバイダーが政府と情報を共有できるようにし、企業に対してCISA(Cybersecurity & Infrastructure Security Agency)、FBI(Federal Bureau of Investigation)、IC(Intelligence Community)など、インシデントの調査と修復を担当するエグゼクティブレベルの部門や機関に特定の侵害データを提供するよう求めています。このアプローチにより、行政機関の部門や機関全体で脅威の包括的な可視性が向上し、早期検知と対応が可能になります。私たちサイバーセキュリティ企業は、官民の連携強化のサポートに力を注いできましたが、この脅威情報の共有セクションによってさらに加速すると言えるでしょう。EOでは目標達成に向けて、以下のことを要求しています。

  • FAR(The Federal Acquisition Regulation)を改正、省庁間の共有を制限する契約に起因する障壁を排除
  • ログ保持の期限と権利の拡大
  • 政府の技術やサービスパートナーのための報告義務
  • 標準規定に基づいたインシデントの共有
  • インシデント(潜在的なものも含む)に関する捜査機関との連携

今回のEOによって、マクロレベルでのインシデント検知向上に一歩近づいたと言えますが、政府機関が民間企業に対して脅威インテリジェンスを共有すれば、より大きな効果が見込めます。米国政府は非常に大きな攻撃対象であり、ある機関または部門が早期に脅威を特定することで、より確かな予測とプロアクティブな防御を可能にし、他の機関へ効果的に拡大させることが可能です。政府が脅威情報のデータレイクを構築したことは大きな一歩ですが、次のステップとして、脅威インテリジェンスの共有をリアルタイムかつ双方向に拡大するべきだと考えます。

このEOでは民間企業と政府間の情報共有、連携の改善が必要であるということに焦点を当てています。このガイダンスでは「侵入後」の脅威情報の一方向の共有に重点が置かれていますが、これに限定せずにリアルタイムに脅威情報を共有すれば、早期発見のスピードが上がり、効果的な対策が可能です。官民による双方向のデータ共有によって、セクターを超えた環境的なコンテキスト、タイムリーで規定的なプロアクティブな対策、修復と自動化機能を効果的に強化できると見込めます。我々セキュリティ業界は、過去の脅威インテリジェンスを利用して、プロアクティブなセキュリティポリシー決定を行う、予測型セキュリティの実現を目指しています。


ゼロトラストの実現

脅威をリアルタイムに共有することで、EOの追加目標の1つである「ゼロトラスト」が実現します。そのためには、ユーザーとデバイスの信頼性を継続的に評価する動的な分析レイヤーが必要です。環境変数の変化に応じて、アクセス権限、認証権限が変化します。脅威インテリジェンスを共有して新たなキャンペーンの潜在的に危険なアセットを特定するには、データ共有が迅速であればあるほど効果があるのは当然で、価値の高い資産を保護するための信頼性評価と修正が確実なものとなります。

弊社では標的型脅威インテリジェンスについて、政府と同様にメリットと課題を特定しており、脅威の共有を可能にする高度なプラットフォームを開発しました。確実にデータを保護するための早期指標として分野別のデータを活用し、自社の脅威インテリジェンス・データレイクを中心に、対象キャンペーンと脅威を特定して保護措置に関連付けてセクターに特化したインテリジェンスを実現します。業界特化型のキャンペーンに対し、一歩先を見据えた適切な防御策を予測します。優先順位にもとづいた対処が可能になりました。この機能をMVISION Insightsと呼んでいます。

Insightsは、脅威インテリジェンスを共有することの必要性を強く意識させるアプローチを取っており、すべての主要なビジネスセクターにわたる幅広い顧客層と、脅威調査組織およびセクター固有の標的型攻撃を特定する機能を組み合わせることによって、顧客企業は同分野の企業から収集した脅威インテリジェンスを活用できます。連邦政府には、医療、金融、重要インフラ、農業など、さまざまな民間企業のパートナーが存在します。政府が管理する範囲の外に存在する情報漏洩の標的として攻撃対象にされる可能性があります。

ある架空のシナリオを想定しましょう。例えば、アメリカ合衆国保健福祉省(HHS)のパートナーの医療機関が、政府機関や別のパートナーの医療機関に影響を与える脅威について、官民の脅威インテリジェンスの共有網を介してリアルタイムに警告されるケースです。パートナーが攻撃の指標について自社環境を評価し、情報に基づいた迅速な防御策の修正を決定し、必要に応じてアクセスを制限することが可能となります。リアルタイムの警告は、HHSのパートナーが脅威からの攻撃に備えることを可能にするだけでなく、結果的には連邦政府の攻撃対象領域を減らすことにつながります。


サイバー脅威に対する取り組み

同業の企業がサイバー脅威テレメトリの開発と構築に参加できるようにすることで、次のことが可能になります。

  • 予測と警告プロセスの自動化
  • 業界全体で新たな脅威をプロアクティブに特定
  • 脅威やアクター(キャンペーンやIOC)の詳細情報を共有
  • リアルタイムの洞察とフォレンジック調査機能

米国政府はリアクティブからプロアクティブな対応へ、効果的なシフトに着手し、さまざまな脅威に対してより迅速な、先を見越したアクションを可能にします。次のEOでは、政府がサイバー脅威インテリジェンスを民間企業と共有するというコミットメントを強化する必要があります。業界標準ベースのフォーマットで、ほぼリアルタイムに業界全体の脅威インテリジェンスのデータを共有する仕組みは、既に存在しています。我々が一丸となり、この取り組みを重要事項として推し進めていく必要があります。

※本ページの内容は2021年7月12日(US時間)更新の以下のMcAfee Blogの内容です。
原文: White House Executive Order – Removing Barriers to Sharing Threat Information
著者: Jason White