- 目次
1.課題:IoC活用・共有で見えた実運用上の壁
NTT DATAのCSIRT組織であるNTTDATA-CERTでは、脅威情報を構造化・共有するためのオープンソース基盤であるMISP(※1)を活用し、IPアドレスやドメインなどのIoCをセキュリティ機器・監視基盤へ自動的に適用しています。加えて、IoCを迅速に共有するためのシステム基盤を整備し、MISPを通じたNTTグループ内の情報共有にも取り組んできました。
しかし、取り組みを進める中で、IoCを「適用できること」や「共有できること」が、実際に「対策として有効に活用できること」を意味しない、という課題が見えてきました。実運用では、攻撃背景や活用方法が分からないIoCが多く流通し、現場にとってノイズとなるケースが少なくありません。この課題の主な要因は、以下の3点です。
図1:IoCが実運用でノイズになる要因
1つ目は、IoCが大量に発生・流通する点です。
攻撃者はIPアドレスやドメインを容易に変更できるため、そのたびにIoCが発生します。その全てを適用すると監視基盤の負荷や誤検知の増加を引き起こし、実務者の疲弊につながります。
2つ目は、IoCの提供者がどのようなIoCを共有すべきか判断できない点です。
共有基準や活用方法が明確でなければ、受領者の対策に必要なIoCや情報を選別できません。その結果、出所や攻撃背景が十分に整理されていないOSINT(※2)由来のIoC共有が増えます。
3つ目は、IoCの受領者が活用可能なコンテキストを得られない点です。
IPアドレスだけを受け取っても、それがどの攻撃で観測され、どのように活用すべきか、受領者側では判断できません。IoCは、コンテキストと切り離されると重要な背景情報が失われます。その背景情報を後から補うことは困難です。
これら3つの要因が重なることで、IoCが受領者にとってノイズとなり、現場の運用負荷が増え、真に対応すべき脅威を見落とすリスクが高まります。
一般に公開された情報源を収集・分析し、サイバー脅威に対するインテリジェンスを得る手法
2.解決策:IoCベースから脅威情報ベースへの転換
前述の課題を踏まえ、NTTDATA-CERTでは、従来のIoCを主とした運用から、脅威情報を主とした運用への転換に取り組みました。ここでいう脅威情報とは、IoCだけを指すものではありません。攻撃手法などの被害につながり得る事象の分析結果に加え、検出ロジックや影響対象製品など、受領組織が影響範囲を把握し、対策に活用できる情報を含んだものです。重要視したのは単に「どのIoCで防ぐか」ではなく、「どの脅威情報に基づいて防ぐか」という点です。
この視点の転換を踏まえ、「IoCベース」の運用で生じていた現状の課題と、その解決に向けた「脅威情報ベース」での運用の方向性を整理したものが、次の図です。
図2:IoCベース運用から脅威情報ベース運用への転換
従来の運用では、IoCを収集し、セキュリティ機器や監視基盤へ自動適用する運用を主としていました。これは既知の悪性IPアドレスやドメインの迅速な検知・遮断には有効ですが、前述のとおり、IoCの大量化やコンテキスト不足により、優先度や活用方法の判断に限界がありました。
これに対し、脅威情報ベースの運用では、攻撃背景やTTPs(攻撃者の戦術・技術・手順)、検出ロジック、影響範囲を含めて情報を整理します。これにより受領組織は、単にIoCを機器へ投入するだけでなく、自組織に関係する脅威かどうかを判断し、検知・遮断・調査などの具体的な対策へ展開できます。
次の図は、提供組織が整理した情報を、受領組織が対策へ活用するまでの流れを示しています。
図3:MISPを介した脅威情報の構造化・共有・活用の流れ
提供組織は、インシデントレポートや攻撃キャンペーンに関する情報を、機械処理しやすい構造化データに変換してMISP上に登録・共有します。その際、SigmaやYARAなど国際的に利用が進んでいるフォーマットを用いることで、受領側でのセキュリティ運用への適用を容易にします。
ただし、脅威情報ベースの運用では、取り扱う情報の種別が広がり、共有対象とする情報の選別、構造化方法、活用先などの判断が難しくなります。そこで、運用の移行にあたって、実務者の判断を支える共通指針と具体的な手順が必要となります。
3.取り組み:グループにおける「脅威情報共有ガイド」の策定
NTTDATA-CERTでは、前述した解決策を実運用に落とし込むため、NTTグループ各社と共同で「脅威情報共有ガイド」を策定しました。このガイドでは、何を共有するか、どこに保存するか、どの形式で表現するか、どの粒度で登録するかを定義し、実務者が同じ考え方で脅威情報を扱えるようにしています。
ガイドは、ガバナンスパートとテクニカルパートの2つで構成されています。ガバナンスパートでは、共有の目的やサイバー脅威情報の定義、共有要否を判断するための原則を定め、何を共有するかを判断する基準を示します。テクニカルパートでは、保存場所、表現形式、登録粒度を定め、脅威情報を組織横断で再利用するためのデータ構造化方法を示します。
図4:脅威情報共有ガイドの構成
本稿では、ガイドの記載内容のうち、NTTグループ固有事情に依らない、他の組織でも共通して利用できる項目である、ガバナンスパートの「サイバー脅威情報の定義」、テクニカルパートの「共有フォーマット」および「共有スキーマ」について説明します。
まず、ガバナンスパートにおける「サイバー脅威情報の定義」では、情報を特性ごとに分類し、共有優先度を定めることで、共有対象を判断できないという課題を解決しました。具体的には、サイバー脅威情報を分類する下記の6カテゴリを定義しています。このカテゴリ分類により、実務者は扱うべき情報を整理しやすくなります。
表1:脅威情報のカテゴリ定義
また、カテゴリ定義だけでは、どの情報を優先して共有すべきかまでは判断できません。そこで、MoSCoWフレームワーク(※3)を用いて、下図のとおり、カテゴリごとの共有優先度を定義しました。これにより、検知や調査に直結する情報を優先し、個別組織を識別し得る情報を除外する判断基準を明確にしています。
表2:脅威情報のカテゴリと共有の優先度
次に、テクニカルパートでは、「共有フォーマット」と「共有スキーマ」を定めることで、構造化方法や活用先を判断できないという課題を解決しました。ここでいう「共有フォーマット」とは、脅威情報を構造化するためのデータモデルや攻撃手法・検知ロジックなどの表現形式を定めたものを指し、「共有スキーマ」とは、それらをMISP上でどの項目・粒度で登録するかを定めたものです。
共有フォーマットでは、基本単位にMISPのデータ構造を用い、攻撃手法はMITRE ATT&CK®、検知ロジックはYARAやSigma、脆弱性はCVE™、影響製品はCPE、ソフトウェア構成はSBOMで表現します。このように表現形式を定めることで、提供組織は構造化方法に迷わず、受領組織は共有された情報の用途を判断できます。
表3:脅威情報の共有フォーマット
ただし、表現形式をそろえるだけでは不十分です。MISP上に登録する項目や粒度が組織ごとに異なってしまえば、受領側での機械処理が難しくなります。そこで、共有スキーマを下表のとおり定義し、登録対象と粒度を統一しました。これにより、共有情報のばらつきを抑え、受領組織は共有された情報を機械処理し、対策へ迅速に適用できます。
表4:脅威情報の共有スキーマ(インシデント関連情報)
表5:脅威情報の共有スキーマ(脆弱性 注意喚起)
これらの定義により、各組織が保有する知見や情報を対策に役立つ脅威情報として共有可能となります。情報を「共有する」だけで終わらせず、「対策に活かす」形で流通させることで、他組織の知見や情報を活用した能動的な防御を実現できます。
4.今後:グローバルな集合知による能動的サイバー防御へ
各組織単独で観測できる攻撃や、蓄積できる知見には限界がある一方、一つの組織で観測された攻撃の兆候や対処の知見は、他組織における防御や未然防止のために有効な情報となります。
脅威情報を共通の考え方に基づいて取り扱うことで、組織固有の知見は再利用可能な形で蓄積され、組織横断の集合知となります。本稿で説明した取り組みは、その第一歩です。今後は、グループ内で整備した脅威情報活用・共有の考え方を発展させ、国内外のセキュリティ組織との連携へ広げることで、グローバルな集合知に基づく能動的サイバー防御の実現を目指します。


MISP Open Source Threat Intelligence Platform & Open Standards For Threat Intelligence Sharingについてはこちら:
https://www.misp-project.org/
MITRE ATT&CK®についてはこちら:
https://attack.mitre.org/
Sigma - SIEM Detection Format | The shareable detection format for security professionals.についてはこちら:
https://sigmahq.io/
YARA - The pattern matching swiss knife for malware researchersについてはこちら:
https://virustotal.github.io/yara/
CVE: Common Vulnerabilities and Exposuresについてはこちら:
https://www.cve.org/
あわせて読みたい: