私の専門領域は脅威インテリジェンスです。聞き慣れない言葉かもしれませんが、まず脅威とは、意図、機会、能力の3要素で構成されています。『お金が欲しい』『政治的な主張を拡散したい』といった、サイバー空間で活動をする攻撃者が達成したいと考えている目的が意図です。サイバー攻撃のターゲットとなる企業に対して攻撃者が見つけ出す機器やシステム環境の脆弱性など、攻撃の原因になるようなものを機会と呼びます。そして目的を達成するための攻撃者の能力には、ネット上で得た知識をもとに試しにハッキングをしてみる人のようないたずら心から、国家レベルで支援されている諜報活動や軍事資金の調達に直結した攻撃者まで、レベルに幅があります。これらを掛け合わせたものが脅威となります。能力は攻撃者によることなので変更できませんが、意図と機会は情報収集することで何かしらの対策をすることが可能です。例えば脆弱性は頻繁に更新されるので、最新の情報をもとに対策しなければならないときはすぐに穴を潰す必要があります。その対策に用いるのが脅威インテリジェンスです。

情報という言葉は、データ、インフォメーション、インテリジェンスの３階層から成っています。データとは、IPアドレスを例にとると、この場合は単なる数字の羅列となります。インフォメーションは、このIPアドレスはどのようなものであるかを整理・加工して、データに意味付けがされたものです。インテリジェンスは、次のアクションにつながるような洞察がされたものを示します。つまり、何らかの脅威に晒された場合にインテリジェンスでないものを受け取っても、その情報をもとに何をすればいいのか分からないということです。対策をする際、相手にデータのまま渡すのではなく、どのような意図を持って洞察したかを理解していただくために、データの整理・加工のプロセスや意味づけ、背景情報も含めて脅威に関するインテリジェンスを作り上げて提案していきます。これは危ないなと思った事象について調べて、会社の把握している資産や脆弱性から攻撃される可能性を組み合わせて、危険であると判断した場合には情報を共有し、注意喚起や提案をしていくことが私の業務です。サイバー攻撃を火事に例えるなら、煙が出ている状態で見つけられれば早期検知となり、早めに検知して悪化しないように対策を心掛けています。攻撃の兆候を把握できれば早いうちに対策することが可能で未然防止となりベストですが、検知が遅れて火事になってしまう場合もあります。その場合でも事後に原因調査をすることでその後の対策や復旧に役立つので、どの段階でも脅威インテリジェンスは重要です。

就職活動ではセキュリティ関連の企業を中心に回りましたが、その中で東芝のインターンシップがセキュリティのテーマを扱っていることを知り、参加しました。そこで職場の雰囲気や先輩方がどのような仕事をしているのかを深く知ることができ、東芝は職場が優しい雰囲気であることに加え、工場やプラントなどの制御セキュリティも手掛けていて、情報と制御の両方のセキュリティに関われることが他社にはない特徴だと感じました。日常の業務では、社内のセキュリティ対策強化に貢献する活動もしています。脅威に関するアラートや外部の情報機関からのメールをチェックして、これは危ないと思ったら脅威インテリジェンスのプロジェクトメンバーに情報共有し、必要であれば社内のCSIRT（セキュリティ事故対策チーム）を通じて対処していきます。いつ危険な、あるいは重大な情報が来るかは分かりません。緊急性もまちまちで、全く無関係な情報もあれば、それに埋もれるように重要な情報が隠れている場合もあり、それを探し出し分析するのが難しいところです。脅威インテリジェンスの洞察力の向上には、数をこなすことも重要です。私も最初は『×××について調査して』と言われても、何から手をつけていいのか分かりませんでした。数をこなすうちに勘所を掴めるようになって、以前であれば数時間かかっていたものが数十分あれば調べられるようになりました。脅威インテリジェンスに関する外部セミナーにも参加し調査するためのツールやその使い方を習得することで、分析のスピードも上がり成長していると感じています。