original image: © sdecoret - Fotolia.com
Threat Intelligence(脅威情報)サービスを提供する「KELA」
2017.12.18
Updated by Hitoshi Arai on December 18, 2017, 17:00 pm JST
original image: © sdecoret - Fotolia.com
2017.12.18
Updated by Hitoshi Arai on December 18, 2017, 17:00 pm JST
今回に紹介するのは、既に日本に入ってきている「KELA社」のThreat Intelligence(脅威情報)サービスである。KELAは2009年にNir BarakとYigal Navehにより設立された、インターネットの脅威情報に関する情報サービスを提供する会社である。日本では、既に複数の大手企業での実績があり(サービスの性格上、顧客の固有名詞公開は期待できないが、9月5日のNHK7時のニュースでNTTグループが顧客であることが放送された)、株式会社テリロジーが代理店として2016年11月から販売を行っている。
KELAの提供するRaDarkというサービスは、標的型攻撃から企業を守るために、企業にとっての「脅威」を24時間365日で監視するものである。標的型攻撃とは、攻撃者が目的と意思をもってターゲットとする企業・組織の機密情報を盗み出したり破壊したりするもので、平成27年に日本年金機構のサーバーから大量の個人情報が流出した事件が記憶に新しい。
組織の職員宛に、不正なプログラムが組み込まれた文書や画像ファイルが添付されたメールが送られ、職員がその添付ファイルを開くことでPCやサーバーがマルウエアに感染し、システムの脆弱性を利用して外部からの侵入や情報漏洩を可能にする、というのが典型的なパターンである。
攻撃者は、攻撃対象とする組織のシステムの詳細、組織構成や仕事内容等を調べたうえで、不自然とは思われないような送信者から、通常の業務関連と思わせるような巧妙なメールを送りつけてくる。この攻撃者がシステム詳細を調べる、というところがミソである。攻撃を成功させるために攻撃者は、システムのハードウエア、ソフトウエア、OSの詳細、ポート情報、内在する脆弱性など、ありとあらゆることを調べる。
ということは、自社・自組織についてこのような情報収集が行われている「足跡」を把握することができれば、将来起こりうる攻撃を想定した対策を講じることができる。これがThreat Intelligenceの目的である。
RaDarkは、様々なソースから顧客に関連する脅威情報を収集、専門家が分析し、その結果を定期的に報告するレポーティング・サービスだが、同時に顧客専用のダッシュボードが提供され、顧客自身がKELAが収集した生の脅威情報を確認することもできる。
利用のしかたとしては、図の監視サイクルを参照してほしい。
顧客がモニターしたい脅威情報(例えば、自社に関わる脆弱性情報が出回っていないか など)を得るためのキーワードをもとに、KELA社が保有している様々なソースから情報を収集し、顧客別のダッシュボードへの展開と、アナリストの分析レポートが提供される。
実際には、目的に合った最適なキーワードがすぐに見つかるわけではない。最初は、ある程度大枠のキーワードで探索結果を見てゆく。場合によっては、想定外の情報が得られることも有る。そのような探索結果を見つつ、専門家と顧客が議論して徐々にキーワードを適切なものに修正しながら、求める脅威インテリジェンスを絞り込んでゆくことになる。
従って、単発の調査で何か見つけることは難しく、最低でも数ヶ月の継続的な調査が必要となる。つまり、Ongoingで顧客個別に提供される「テーラーメードのコンサルティング・サービス」とも言える。従って、(具体的な数字は分からないが)決して安くはない金額のサービスだそうで、それなりの体力のある企業でないと利用が難しいようだ。逆に言えば、その価値が分かる企業が、それなりの費用を支払っても利用したいものである、とも言える。
RaDarkの一つの特徴は、DarkWeb(注:テリロジー社の資料ではDarkNetとなっているが、初回に記載したとおり、本稿ではDarkWebで統一することとする)だけではなく、Surface Webからも同時に情報を収集することである。
攻撃対象とするシステムの脆弱性やログイン情報、攻撃ツール等はDarkWebで取引されるし、取引にかかわるディスカッションには、攻撃に関する予兆も含まれるので、こちら側の情報収集が基本であることは間違いない。しかし、SNSやブログなどでの誹謗中傷のような情報が、先の予兆を裏付ける場合もあり、多面的な分析がインテリジェンス検出の精度を高めることにもつながるようだ。
もう一つの特徴は、AIの活用である。容易に想像できるように、RaDarkでは膨大な情報を収集する。その殆どはノイズであるが、それを人間が精査していてはとても対応しきれない。RaDarkでは、この「アナリスト」の思考を学習したAIシステムが、多量の情報の一次フィルタリングを行う。その上で、人間の専門家が更なる分析・評価を行うことで、真に意味のあるインテリジェンスを掘り起こす。このAI+人間の組み合わせが、より多くの情報をより早く精査することを可能にしている。
また、このようなアナリストの分析は、DarkWebの情報をコピーしたKELAのデータベースの中で実行される。実際のDarkWebの中で、アナリストが調査・分析活動をすれば、それこそその「足跡」が悪意のある攻撃者側に知られてしまうことになる。また、期間限定で不正情報を販売しているショップサイトのようなものもあり、これらを見逃さないためにも、一度コピーを取る、ということは重要なのだ。
さらに、多くの不正情報のやり取りは、ロシア語とか中国語でなされている。従って、これらの言語に精通しているということも、より良い分析をするための基本条件になっている。
このように見てきた時に、いくつか基本的な質問も浮かぶ。
(1)情報を収集する「ソース」としては、必要十分な対象をカバーしているのか?
(2)自動的に情報収集を行うソフトウエアは、どんなアルゴリズムで動いているのか? 設定キーワードに対して、適切に探索するようなプログラムになっているのか?
(3)ノイズフィルタリングを行うAIの元になるアナリストの思考方法、分析方法はどんなものか? 絞込みの信頼性は?
(4)悪意のある人間達のコミュニティからの情報収集や分析は、適法な手段で実施され得るのか? 不正なやり方で情報を取得していないか?
しかし、これらこそが、Threat Intelligence サービスを提供するKELAのような会社のノウハウであり、これらの疑問に明快な答えを得ることはないだろう。手の内を晒してしまっては、今後の探索活動に支障をきたす。つまり、顧客は、事業者を信頼してサービスを購入することが求められるのだ。この点が日本の企業、特に伝統のある大企業に馴染むかどうか、大変興味深い。
RaDarkは、販売しているテリロジー社自身が言うように決して安くはない価格だそうだが、そのような高価なサービスを購入するためには、それなりのレベルまでの稟議が必要であろう。しかし、稟議に記載するサービスの説明として、「何ができるか」は記載できるが、その信頼性や仕組みは、いわばブラックボックスである。伝統的な日本企業の幹部が、「仕組みや詳細が分からない」商品を購入するという意思決定ができるのだろうか? 名の通った大企業が既存顧客リストにあれば、その前例を信じて自分も使う、という判断になるのだろうか?
この点は、インテリジェンス・サービスに限らず、日本企業全般の課題であると考える。ある成果を出すために必要な道具を購入する際に、その道具そのものの必然性や投資効果に関する理解を得るためのプロセスが稟議である。形となった「成果」であれば、その企業そのものが欲しいものであるが故に、頭の古い経営者でも良し悪しの理解は可能だろうが、最近のAI技術等を利用した部品や道具の良し悪しを判断できる経営者がどれだけいるのだろうか? グローバルな競争のなかで、その理解・判断に時間をかけている余裕が本当にあるのか? 本題から逸れるが、日本がイスラエルのようにイノベーションを起こせるかどうか、の一つのポイントが見えたように思う。
おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)
登録はこちらNTT武蔵野電気通信研究所にて液晶デバイス関連の研究開発業務に従事後、外資系メーカー、新規参入通信事業者のマネジメントを歴任し、2007年ネクシム・コミュニケーションズ株式会社代表取締役に就任。2014年にネクシムの株式譲渡後、海外(主にイスラエル)企業の日本市場進出を支援するコンサル業務を開始。MITスローンスクール卒業。日本イスラエル親善協会ビジネス交流委員。E-mail: hitoshi.arai@alum.mit.edu