CTIの配布ターゲット

このページでは、CTIの配布ターゲット、つまり消費者に関する分類をします。
CTIの生産者はCTIの消費者カテゴリを明確にし、CTIの活用イメージを想定しながら配布する必要があります。

消費者カテゴリ

CTIを作成する場合、CTIの生産者はどのような消費者がCTIを使うのかを明確にする必要があります。
消費者像を明確にすることで、脅威の理解に関する前提知識、対象方法の実現可能性、消費者におけるCTIの有用性を推測することができます。
以下に代表的なCTIの消費者の例と、どのようなCTIを利用するかを記載します.
  • セキュリティオペレーション

    CTI活用傾向:高〜低

    セキュリティオペレーションに関わるスタッフです。セキュリティ機能を持つ組織では最も早くから存在し、提供するサービスや社内システムのセキュリティ運用を担当します。

    小規模な組織または未成熟な場合、他のカテゴリの機能を兼任します。担当範囲が広く拘束時間が長いため、所属人数は多くなる傾向があり、小さなグループに分かれて担当が細分化されていることも少なくありません。また、ベンチャー企業においては、一部の高スキル者が一括して運用監視を行っている場合もあるため、スキルレベルや対応キャパシティに関して、会社間で非常にバラツキがあります。

    注釈

    • 機密情報漏洩の調査

    • ハイリスクなマルウェアへの対処

    • レピュテーションリスク

  • インシデントレスポンス

    CTI活用傾向:高〜中

    インシデントレスポンスに関わるスタッフは、セキュリティイベントをトリガーに行動を開始します。主にサイバー攻撃被害、オペレーションミスによるセキュリティ事故の対応にあたります。システムのログ解析やマルウェアの振る舞いに関する高度な知識を持ったスペシャリストが存在します。

    注釈

    • 機密情報漏洩の調査

    • サイバー攻撃被害の影響範囲の特定

    • サイバー攻撃被害の事後対応

  • 脆弱性マネジメント

    CTI活用傾向:高〜中

    脆弱性マネジメントに関わるスタッフは、主に公開されたエクスプロイトの検証や担当システムの脆弱性改修を行います。担当サービスやコンピュータの仕組みに精通しており、各種テックスタックに該当するセキュリティアドバイザリやエクスプロイトに関する専門的な知識があります。セキュリティオペレーションと兼任している場合は、他組織へ修正パッチの適用を促すオペレーションを行う場合もあります。

    注釈

    • エクスプロイトキットの調査

    • ハイリスクな脆弱性への対処

    • ゼロデイ攻撃に関する調査研究

  • リスク分析

    CTI活用傾向:高〜中

    リスク分析に関わるスタッフは、セキュリティの知識だけでなく資産評価を行う能力も必要です。また、資産を侵害・毀損される確率を正確に見積もる必要があります。組織のコンプライアンスプログラム(セキュリティ認証)と関わることも多く見受けられます。

    注釈

    • サードパーティ製品のセキュリティ評価

    • リスクが高いパートナーの調査

    • 競合マーケットの調査

  • 不正マネジメント

    CTI活用傾向:中〜小

    不正マネジメント関わるスタッフは、主にITガバナンスに関する専門的な知識があり、心理学に関する知識を持つスタッフがいる場合もあります。組織のコンプライアンスプログラム(セキュリティ認証)の運用者である場合が多く見受けられます。近年では、OSINT情報を活用したモニタリングを行うこともあります。

    注釈

    • 盗難資産の調査・発見

    • 不正防止メカニズムの策定

  • セキュリティリーダーシップ

    CTI活用傾向:高〜小

    組織に対する非常に広範囲なセキュリティの意思決定・検証を行います。セキュリティオペレーションと同じく、セキュリティ機能を持つ組織では最も早くから存在し、他組織や他グループへのセキュリティ施策の展開を行います。

    組織によっては、不正マネジメント機能と統合されている場合もあります。専門的知識や技術力が低い場合、非常に煩雑な対策や効果の薄いセキュリティ対策を組織に展開してしまい、サービス成長の足かせとなったり、従業員満足度を大きく損なう意思決定を行うケースが見受けられます。そのため、他組織との円滑な意思疎通や、競争力を維持するセキュリティ対策の十分な情報収集が不可欠となります。また、セキュリティ施策が機能しているかを確認するために、ペネトレーションテストの機能を持つことがあります。

    注釈

    • リスクが高いパートナーの調査

    • ペネトレーションテスト

    • 自社に対する標的型攻撃の調査

    • インフラのリスク評価

    • フィッシングやスパムのトレンド調査

    • レピュテーションリスク

    • 攻撃キャンペーンの調査

    • 脅威アクターの調査

  • CTI分析

    CTI活用傾向:高

    CTI分析に関わるスタッフはCTIを収集し、検証・精査したものを組織へ配布します。CTIの組織的な活用を促すことで、「脅威の把握」「脅威の優先付け」「効果的な対処」「スペシャリストが支持する意思決定」を効果的かつ迅速に展開することができます。

    ただし、CTIの性質を考慮せずにインテリジェンスを配布している場合も多く、高いスキルを持った一部のセキュリティエキスパートだけが利用しているケース、ゴシップ記事のような攻撃キャンペーン情報をステークホルダに提供してしまうケースが散見されます。また、CTIの収集に注力するあまり、インテリジェンスを死蔵してしまうケース、セキュリティイベントをトリガーに収集を行うため迅速な意思決定に寄与しないケースも見受けられます。

    Metemcyberを利用すると、セキュリティオペレーションのスコープを最も効果のある範囲から段階的に展開していくCTI活用ができるため、セキュリティオペレーションの高効率化や大幅なスピードアップが実現できます。

    CTIの消費者と密接に連携しながらインテリジェンスサイクルを回すことで、費用対効果の高いCTIマネジメントを実現しましょう。

    注釈

    • リスクが高いパートナーの調査

    • 機密情報漏洩の調査

    • エクスプロイトキットの調査

    • ハイリスクなマルウェアの調査

    • ハイリスクな脆弱性の調査

    • 自社に対する標的型攻撃の調査

    • 攻撃トレンドの調査

    • インフラのリスク調査

    • フィッシングやスパムのトレンド調査

    • レピュテーションリスク

    • 攻撃キャンペーンの調査

    • ゼロデイ攻撃に関する調査