脅威インテリジェンス技術
脅威インテリジェンス技術

高度なサイバー攻撃を
防御・検知する

セキュリティ運用推進部門 諸富 裕太
2023年度入社 情報創成工学専攻

セキュリティ運用推進部門 諸富 裕太
2023年度入社 情報創成工学専攻

脅威インテリジェンス技術
脅威インテリジェンス技術

高度なサイバー攻撃を防御・検知する

サイバー攻撃の脅威を分析し、対策を施す

私の専門領域は脅威インテリジェンスです。聞き慣れない言葉かもしれませんが、まず脅威とは、意図、機会、能力の3要素で構成されています。『お金が欲しい』『政治的な主張を拡散したい』といった、サイバー空間で活動をする攻撃者が達成したいと考えている目的が意図です。サイバー攻撃のターゲットとなる企業に対して攻撃者が見つけ出す機器やシステム環境の脆弱性など、攻撃の原因になるようなものを機会と呼びます。そして目的を達成するための攻撃者の能力には、ネット上で得た知識をもとに試しにハッキングをしてみる人のようないたずら心から、国家レベルで支援されている諜報活動や軍事資金の調達に直結した攻撃者まで、レベルに幅があります。これらを掛け合わせたものが脅威となります。能力は攻撃者によることなので変更できませんが、意図と機会は情報収集することで何かしらの対策をすることが可能です。例えば脆弱性は頻繁に更新されるので、最新の情報をもとに対策しなければならないときはすぐに穴を潰す必要があります。その対策に用いるのが脅威インテリジェンスです。

事実に洞察を加えたインテリジェンスを提供する

情報という言葉は、データ、インフォメーション、インテリジェンスの3階層から成っています。データとは、IPアドレスを例にとると、この場合は単なる数字の羅列となります。インフォメーションは、このIPアドレスはどのようなものであるかを整理・加工して、データに意味付けがされたものです。インテリジェンスは、次のアクションにつながるような洞察がされたものを示します。つまり、何らかの脅威に晒された場合にインテリジェンスでないものを受け取っても、その情報をもとに何をすればいいのか分からないということです。対策をする際、相手にデータのまま渡すのではなく、どのような意図を持って洞察したかを理解していただくために、データの整理・加工のプロセスや意味づけ、背景情報も含めて脅威に関するインテリジェンスを作り上げて提案していきます。これは危ないなと思った事象について調べて、会社の把握している資産や脆弱性から攻撃される可能性を組み合わせて、危険であると判断した場合には情報を共有し、注意喚起や提案をしていくことが私の業務です。サイバー攻撃を火事に例えるなら、煙が出ている状態で見つけられれば早期検知となり、早めに検知して悪化しないように対策を心掛けています。攻撃の兆候を把握できれば早いうちに対策することが可能で未然防止となりベストですが、検知が遅れて火事になってしまう場合もあります。その場合でも事後に原因調査をすることでその後の対策や復旧に役立つので、どの段階でも脅威インテリジェンスは重要です。


ある在宅勤務日のスケジュール


09:00   ●勤務開始
           ・メール/Teamsチャットのチェック
           ・スケジュール確認

09:15   ●セキュリティ情報収集
           ・脆弱性情報収集、共有
           ・セキュリティニュースなど
            公開情報の確認、共有

10:00   ●セキュリティ情報分析、資料作成
           ・収集・調査した情報を元に
            アクションなど提案内容を整理

12:00   ●昼食

13:00   ●関連部門との打合せ
           ・セキュリティ情報について
            議論、アクション提案

14:00   ●プロジェクト内定例(毎週)
           ・進捗確認、相談事など議論

16:00   ●課題検討
           ・打合せ/定例で出た課題について
            整理、解決策を考える

17:00   ●資料作成
           ・次回打合せに向けた資料作成

18:00   ●勤務終了

セキュリティの専門分野で自らの成長を実感

就職活動ではセキュリティ関連の企業を中心に回りましたが、その中で東芝のインターンシップがセキュリティのテーマを扱っていることを知り、参加しました。そこで職場の雰囲気や先輩方がどのような仕事をしているのかを深く知ることができ、東芝は職場が優しい雰囲気であることに加え、工場やプラントなどの制御セキュリティも手掛けていて、情報と制御の両方のセキュリティに関われることが他社にはない特徴だと感じました。日常の業務では、社内のセキュリティ対策強化に貢献する活動もしています。脅威に関するアラートや外部の情報機関からのメールをチェックして、これは危ないと思ったら脅威インテリジェンスのプロジェクトメンバーに情報共有し、必要であれば社内のCSIRT(セキュリティ事故対策チーム)を通じて対処していきます。いつ危険な、あるいは重大な情報が来るかは分かりません。緊急性もまちまちで、全く無関係な情報もあれば、それに埋もれるように重要な情報が隠れている場合もあり、それを探し出し分析するのが難しいところです。脅威インテリジェンスの洞察力の向上には、数をこなすことも重要です。私も最初は『×××について調査して』と言われても、何から手をつけていいのか分かりませんでした。数をこなすうちに勘所を掴めるようになって、以前であれば数時間かかっていたものが数十分あれば調べられるようになりました。脅威インテリジェンスに関する外部セミナーにも参加し調査するためのツールやその使い方を習得することで、分析のスピードも上がり成長していると感じています。


学生の皆さんに一言


『自分が熱中できる分野が何かを探し出すことが、仕事選びのヒントになるでしょう。』

私はセキュリティの専門家として仕事をしていますが、もともとセキュリティに興味を持ったきっかけは、学校の教育プログラムに興味本位で参加したことでした。だから少しでも興味があればその分野や領域に飛び込んでみる、チャレンジしてみることが大事だと思います。そこから深めていく中で、これは面白いなと思い時間を忘れるほどに調べたりしていれば、そのことに熱中していることになります。ぜひ熱中できる分野を探し、そこに飛び込んで追い求めることができる仕事が見つかったら、その企業にインターンシップなどでアタックしてみてください。