必要なのはインフォメーション？インテリジェンス？

さまよえるインテリジェンス

サイバーセキュリティにおいて、インテリジェンスという言葉を耳にする機会が多くなった。ITまたはサイバーセキュリティ関係者の中には、インテリジェンスサービスが良いらしいという話を聞き、導入を検討している方もいるのではないだろうか。

これはインテリジェンスに関わっていると、よく聞く話である。この発言において気を付けるべきは、目的と手段の順序が逆になっている点だ。目的があるからインテリジェンスサービスを利用するのであって、インテリジェンスサービスが何らかの目的を導出してくれるわけではない。「野球グローブを購入したけど、さてどうしよう？」という珍妙な言動と同等である。インテリジェンスを利用する場合に重要なのは、ステークホルダーであるあなたが、インテリジェンスをもって何をしたいかである。

データ、インフォメーション、インテリジェンス

初めに、本稿で頻出する言葉となるデータ、インフォメーション、インテリジェンスの定義を解説する。次に、インテリジェンスの階層区分と提供するタイミングの重要性について補足する。

データは、未加工の事実であり、それだけではあまり意味をなさない。また、それらの真偽性は問われない。インフォメーションは、関連性に基づいて組み合わせることで意味合いを持つようになった、データの集合体である。この時点でも、真偽性は問題ではない。インテリジェンスは、インフォメーションを結び付けて分析した推論や評価であり、意思決定時の一助として利用される。意思決定を左右するため、この時点でインフォメーションまたはインフォメーションを構成するデータの真偽性も評価される。

図1　データ・インフォメーション・インテリジェンスの関係性

インテリジェンスは求めているステークホルダーの階層によって、下図のように戦略的インテリジェンス、作戦的インテリジェンス、戦術的インテリジェンスの3つに分けられる。経営層ならばセキュリティポリシーの更新に活用できるインテリジェンスを、マネージャー層ならば自分の管理するITシステムや従業員教育に活用できるインテリジェンスを、現場スタッフならばITシステムの設定変更に活用できるインテリジェンスを求めるだろう。

図2　インテリジェンスの階層

例えば、サイバー攻撃を受けた企業のIT部門長（マネージャー層）が、自組織が標的となった理由を特定したい場合、下表のように事象は整理できる。表中のインテリジェンスに基づいて、ITシステム運用の再考や従業員教育といった判断を、IT部門長は下し易くなる。

表1　事例におけるデータ・インフォメーション・インテリジェンスの整理

インテリジェンスを提供するタイミングだが、たとえ時間をかけて緻密に分析されたインテリジェンスでも、ステークホルダーに必要なタイミングで提供されなければ、価値を失ってしまう。マルウェアが拡散している状況で、一週間後にスタッフ層にマルウェアの解析レポートを提供しても、手遅れなのである。そのため、ステークホルダーが設定したデッドライン（必要なタイミング）までに提供することを、インテリジェンスの提供者は心掛けなければならない。

インフォメーションかインテリジェンスか

では、どのような状況においてインフォメーション、もしくはインテリジェンスが必要とされるのか。

インフォメーションが必要とされるのは、不足している事実を埋めるためであることが多い。そのためステークホルダーにとっては、インフォメーションの使い道は明瞭になっている。先ほどの事例では、現場のエンジニアは業務フローに則って、今回の攻撃に使用されたIPアドレスをネットワーク機器の遮断リストに追加したい。その時必要になるのは、感染端末がアクセスしたIPアドレスや、公開情報およびその他のソースから攻撃に使用されたIPアドレスを確認することで、それらを追加することができる。この場合は該当のIPアドレス群がインフォメーションであり、使われ方が明白である。

一方で、インテリジェンスが必要とされるのは、判断を下すためであることが多い。先の例でいうと、「現在も継続している攻撃から被害を抑制するためにはどうしたらよいか」という問いに対し、「攻撃の特徴と自組織の対応状況」に関するインテリジェンスが提供されることで、「自組織が今取り掛かるべき処置」や「今後の課題」といった行動のための判断が下される。なお、インテリジェンスはインフォメーションを土台としているため、インテリジェンスを利用する場合は、インフォメーションとインテリジェンスの両者を利用していると言った方が正確だろう。

一つ気を付けるべき点としては、インフォメーションとインテリジェンスは、内外要因が絡むため、都度変化していくことだ。インテリジェンスの適切なタイミングと似た話だが、過去には役立ったインテリジェンスが現在は無用になる可能性もある。インテリジェンスを活用する場合は、過信しすぎるのではなく状況に応じて適切に利用することを心掛けねばならない。

インテリジェンスを活用するためには

自組織でインテリジェンスを利用すると決めた場合、インテリジェンスチームを自組織内に設置するか外部に委託すべきか、社内で兼業とするかは議論の的となるだろう。メリット・デメリットを比較し判断することになるが、最終的には組織の状況に合わせて選択する他ない。参考までに自社内、自社外のメリット・デメリット例を下記に挙げる。

表2　インテリジェンスチームのメリット・デメリット例

日常的に自組織に特化したインテリジェンス、すなわち戦略、作戦、または戦術的インテリジェンスを利用するのであるならば、自社内に設置する方が情報伝達面や方針の柔軟性といった点では有利だろう。一方で、インテリジェンスを扱う人材の獲得や育成への投資、設置するにあたっての合意形成などが課題となる。また、社内だけでなく、社外のコミュニティに参加し、コネクションを構築、インフォメーションを収集することでインテリジェンスに幅を持たせるようにすることも肝要だ。

自社外にチームを設置する場合は、自社内の場合のメリット・デメリットが逆転する。コスト面や社内調整の面では融通が利く一方で、自社に密着しているかという点では劣る部分は少なからず出てくる。「ちょっと自社でやるのはしんどいな…」というクライアントの発言を耳にする機会も過去にはあったので、そのような場合は自社外にアウトソースするのも一つの方法ではある。

余談だが、昨今、インテリジェンスプラットフォームを目にする機会が増えたが、これらのサービスを導入しても、使いこなすのに苦労しているケースが多いように思える。これは、インテリジェンスプラットフォームは（サービス内容にもよるが）、あくまでもインテリジェンスを導くためのインフォメーションを提供している場合が多く、利用者側にインテリジェンスに昇華する能力が求められる場合が多いからである。加えて、利用者側は提供者側へのインテリジェンスの利用目的や自社の要望をしっかりと伝え、用途に合わせたインテリジェンスのカスタマイズをしなければ、汎用的インフォメーションの海をひたすら漂うこととなり、「使ってもあまり効果がでないな…」という結果に陥りかねない。そのような場合、シンプルではあるが5W1Hなどに立ち返って、導入したサービスの利用目的の整理をお勧めする。ここでWhereは、社内・社外のどちらで実施するのかという意味合いで捉えると良い。

• インテリジェンスサービスを利用して何を達成したいのか（What）
• インテリジェンスサービスを利用するはなぜか（Why）
• インテリジェンスサービスを誰が利用するのか（Who）
• インテリジェンスサービスをどこで利用するのか（Where）
• インテリジェンスサービスを利用するタイミングはいつか（When）
• インテリジェンスサービスを業務でどのように利用するのか（How）

一つの選択肢としてのインテリジェンス

本稿で伝えたかったことは、ステークホルダーが利用目的を明確にして、インフォメーションとインテリジェンスを活用することの重要性である。場合によっては、インフォメーションのみで事足りる時もあるだろう。それも一つの選択である。冒頭の発言は目的が明確ではなかった点が問題だったがそこが理解できれば、きっと下のように変化するに違いない。

こうなれば、野球グローブを購入して悩むこともなくなるだろう。

【連載】勘違いセキュリティ（あなたの理解は大丈夫？）シリーズブログ記事はこちら