Balancing proprietary and open-source tools in cyber threat research
2025/01/06 HelpNetSecurity — Microsoft の Senior Security Researcher である Thomas Roccia へのインタビューは、サイバーセキュリティ運用における迅速かつ適切な意思決定を、脅威リサーチが促進する状況について説明するものだ。彼の示すのは、脅威リサーチの内部と外部のバランスおよび、AI と地政学的イベントの影響、そして、組織におけるセキュリティ対策の強化に関する洞察である。
脅威リサーチのメリット:サイバー・セキュリティ運用における適切な意思決定を加速する
脅威リサーチとは、脅威アクターの攻撃手法を理解することである。具体的には、脅威アクターが、どのようにネットワークに侵入し、ユーザーを欺くのか? さらには、どのようなエクスプロイト/ツール/マルウェアを使用しているのか? といったことである。また、彼らの活動に対しては、世界的な情勢も影響を及ぼしている。たとえば、戦争や選挙などの地政学的イベントや、BTC 価格の変動などの経済的要因、そして、AI における世界的な競争などがある。
それら情報をインテリジェンスへと変換し、サイバー・セキュリティ対策の指針として活用できる。具体的に言うと、防御策の採用および製品の選択や、全体的な戦略に関する適切な意思決定と、積極的なセキュリティ対策などにおいて有用となる。つまり、脅威リサーチとは、組織のセキュリティに貢献し、その資産を保護するためのツールである。
脅威リサーチにおける、内製と委託のメリットは?
脅威リサーチを自社で行うメリットは、自社に影響を及ぼす可能性のある脅威というニーズに合わせて、焦点を絞れるという点にある。しかし、ニーズと要件を理解するための知識と経験や、脅威リサーチ・プログラムの構築と運用に対応する、高度な人材などが必要となる。
その一方で、脅威リサーチを外部委託するメリットは、脅威の全体像をより広く把握している専門組織に、自社のセキュリティ上のリスクを委ねるところにある。
万能のソリューションというものは存在しない。したがって、効果的な脅威リサーチを達成するために、社内チームと外部の脅威リサーチ専門チームを、組み合わせることになる場合が多い。その際に、社内チームは、各種の兆候から脅威を理解し、組織のニーズに合わせて情報を変換するという役割を担う。もちろん、割り当てられる予算も考慮すべき事項である。
プロプライエタリとオープンソースを、どのようにバランスさせるのか?
脅威リサーチのワークフローにおいて、プロプライエタリ・ツールとオープンソース・ツールのバランスを取るために必要なことは、ニーズと予算を考慮し、チームの専門知識を把握することだ。まず重要なのは、脅威インテリジェンス・プラットフォームやマルウェア分析ツールなどの、必要とされる機能を特定し、組織の要件を評価することだ。
続いて、費用対効果が高くカスタマイズ可能なオープンソース・ツールを評価するが、これらのツールを運用する際には、コミュニティのサポートや頻繁なアップデートが必要になる場合がある。その一方で、プロプライエタリ・ツールでは、高度な機能や専用のサポートが提供され、他製品との優れた統合を利用できる可能性がある。
その上で、将来的な事業拡大に備えたソリューションの必要性を考慮し、拡張性と柔軟性についても考えてみよう。
脅威リサーチの自動化における AI と ML の影響について
セキュリティ業界と脅威リサーチにおける取り組みは、生成 AI 技術により変化/進化していると、私は考えている。しかし、セキュリティ業界全体としては、まだ、その変化に追いついていない。
生成 AI は、万能のツールというわけではない。しかし、プロセスの迅速化や、セキュリティ手順の強化に加えて、アナリスト間のスキル・ギャップの縮小などにも役立つ。ただし、現段階においては、継続した検証と実証が、生成 AI には必要である。
今後において、世界的に高まっていくのは、セキュリティと AI の2つのスキルを兼ね備えたセキュリティ専門家への需要である。なぜなら、企業における生成 AI システムの導入の増加に伴い、脅威アクターも生成 AI の技術を習得しているため、これらのテクノロジーを理解する人材が必要となるからだ。もし、このようなシステムに関連するインシデントが発生した場合には、どのように対応するのだろうか? その侵害を、どのように調査するのか? つまり、組織にとって必要なことは、将来に起こり得る、こうした事態に備えることである。
生成 AI セキュリティ・ソリューションの有効性を、企業の CISO が評価する場合に必要なことは、まず自社のニーズと問題点を理解し、その上で専門家の助言を求めることだ。最新のトレンドだからという理由だけで、これらのツールを採用するのは、正しいアプローチとは言えない。ツールの有効性を評価する上での鍵となるのは、テクノロジーを理解し、それを実用的に適用する可能性について把握することである。
地政学的な出来事がもたらす、脅威リサーチへの影響とは?
地政学的な出来事は、脅威リサーチの焦点に重大な影響を与える。たとえば、国家に支援される攻撃者や、政治的な動機を持つ脅威アクターが展開する、流動的な動機や戦術の分析が必要であり、そのためには、攻撃者の帰属やプロファイルの追跡が不可欠となる。それぞれの組織の地理的な所在地や業界/所属などに応じて、攻撃してくる可能性の高い脅威に焦点を当てるためには、リソースの再配分が必要になるかもしれない。
さらには、地政学的な緊張の高まりに応じて、特定の脅威の活動が顕著になるため、脅威の状況に対する優先順位付けも変化していく。緊張の最中にある組織においては、攻撃者の攻撃手法に影響を与える可能性のある、より積極的なサイバー防御の姿勢が採用されることもある。組織間における協力体制を築くことで、防御能力を向上させることも可能となるが、そのためには、脅威に関する調査手法の調整が必要となる。
また、地政学的な出来事により、それぞれの言語に対する研究や、地域に応じたマルウェア分析などの、特定の研究が進展する可能性もある。研究者たちに求められるのは、脅威に関する調査の手法を洗練させ、サイバー攻撃との相乗効果を発揮するケースが増えている、誤情報や影響力の行使に対しても、研究対象を広げることだ。
今日の脅威リサーチには、多次元的な側面がある。したがって、適切なツール/手法/焦点を用いた、多様な対応が求められている。
訳していて、とても勉強になる記事でした。プロプライエタリとオープンソースの組み合わせが重要という視点からの解説ですが、いまの OSS Sec Tools は百花繚乱という感じであり、とても納得できる話です。関連する記事として、2024/08/16 の「Consolidation 対 Optimization:セキュリティにおいて軽減すべきコストとストレスについて」もあります。よろしければ、カテゴリ SecTools と併せて、ご参照ください。
IoT OT Security News 