サイバーセキュリティはチームスポーツのようなものです。 サイバー犯罪者たちは情報や専門知識、そしてコードを共有して互いに助け合います。私たちも後れを取らないよう、同様にせねばなりません。脅威インテリジェンス(Threat Intelligence)の共有には、センサーネットワークの所有者が得た情報としてのデータをセキュリティ解析コミュニティとの間で共有できるという重要な側面があります。そのお陰で、最新動向や新種ウイルス、ボットネットの通信手段、標的を指向する攻撃の発生有無、また別々の攻撃者が連携しているかどうかなど、必要とされる幅広いデータを得ることができるのです。
残念ながら、脅威インテリジェンスの共有は一般化されていません。多くのセキュリティ企業は、この手のデータを自社製品やサービスを売るための競争に優位性があると考えています。収益を生む金の卵を探し出し、新規顧客を獲得する一手としての商品化を期待するセキュリティ企業は、データを共有しようとしません。しかし、こうした姿勢の代償として、大局的な意味で全体の効率性が失われてしまいます。
この傾向は徐々に変化しています。一部のセキュリティ企業は自ら先陣を切り、個人情報を編集して攻撃の特徴だけに絞ったデータをどんどん共有しています。これには、まるでアナリストが巨大なパズルの断片から動向を調査するような効果があります。こうしたパズルの断片が、全ての人にとって非常に重要な意味を持っているのです。
大手セキュリティ企業や調査会社 (英文)が知見やデータを共有し始めたのは喜ばしいことです。サイバースレットアライアンス (Cyber Threat Alliance)(英文)といったコンソーシアムやVirusTotalサイトなどが率先してこの傾向を促しています。
2015年の大統領令によって設立された情報共有分析機関(ISAO)(英文)は、官民のデータ共有に関する自主規格を開発しています。
しかし、もっと共有しなければなりません!攻撃は驚くべき頻度で発生しています。マルウェアだけを見ても手に負えない状況で、1日当たり約44,000件のユニーク サンプルが発見されています。セキュリティ組織はお互いの情報を活用することで、お客様や組織が直面する脅威に対し、予測、防御、検知を行い、対応しなければなりません。
セキュリティ企業同士が争うのではなく、攻撃者と被害者の間に立つセキュリティ組織が共同で脅威に対する戦いを挑むべきです。私たちは一丸となってサイバー攻撃の波を食い止めなくてはなりません。世論がとても重要になります。テクノロジーを安全に利用したければ、セキュリティ企業にはっきりとメッセージを伝えてください。脅威データを共有しなければ、別のセキュリティ製品やサービスのサプライヤーに乗り換えますよと。私たちは(お財布を使って)意思を伝えることができるのです。
ご興味を持たれた方は、私のTwitter(@Matt_Rosenquist)かLinkedInをフォローしていただき、サイバーセキュリティに関する知見や現状をご覧になってください。
このブログのオリジナル版は、DarkReading (英文)に掲載されています。
※本ページの内容は 2016年9月29日更新のMcAfee Blogの抄訳です。
原文: Sharing Cybersecurity Threat Intelligence Is the Only Way We Win
著者: Matthew Rosenquist