« 米国 NIST SP 1800-35(第4次初期ドラフト) ゼロトラストアーキテクチャの実装 (2024.07.30) | Main | 英国 NCSC長官がブラックハットでサイバー空間における英国の選挙の安全確保について話をしたようですね... »

2024.08.09

IPA 脅威インテリジェンス導入・運用ガイドライン (2024.07.30) と 第7期生中核人材育成プログラム 卒業プロジェクト成果物

こんにちは、丸山満彦です。

IPAの中核人材育成プログラム 卒業プロジェクト 第7期生が、IPA 脅威インテリジェンス導入・運用ガイドラインを作成し、公表していますね...

脅威インテリジェンスについて、ある程度網羅的にまとめていてわかりやすいと思いました。こういう報告書が公表されるのはよいことですね...

一方、脅威インテリジェンスに集中し、インテリジェンス活動一般についての話をもう少し説明をしたほうがよいかもと思いました。インテリジェンス活動については、歴史もあり、かなり理論も整理されているので、その部分の説明を踏まえて脅威インテリジェンスに繋げたほうが、全体感がよりわかるような気がしました...

IPA - デジタル人材の育成 - 産業サイバーセキュリティ - 中核人材育成プログラム - 中核人材育成プログラム 卒業プロジェクト - 中核人材育成プログラム 卒業プロジェクト 第7期生

・2024.07.30 脅威インテリジェンス導入・運用ガイドライン

 


背景

昨今のサイバーセキュリティの取り組みの一環として、「脅威インテリジェンス」が注目されていますが、その取り組みが指し示す内容や、事業会社が具体的に実施すべき事項があまり明確にされていないなどの課題があると感じました。

そこで当プロジェクトでは、様々な文献やツール、サービスを利用し、脅威インテリジェンスの概要・概念からその効果、ライフサイクルを整理し、またプロジェクトメンバーで実際に脅威インテリジェンスの取り組みを実践することで、事業会社が取り組む内容の一部をケーススタディとしてガイドラインにて紹介しています。

ガイドラインを活用することで、経営層に脅威インテリジェンスの必要性と導入を提案でき、また運用箇所に目的と運用事項を説明できる内容で構成しています。

また、従来組織が取り組んできたフレームワークやガイドライン、チェックリストをベースとした「コンプライアンス型アプローチ」では、昨今の脅威の複雑化やシステムの多様化に追従が困難となる現状に対して、脅威を分析することでよりリアクティブに対応する「脅威ベース型アプローチ」について本書を参考にいただき、事業会社のサイバーセキュリティ強化を支援できればと思います。

プロジェクトメンバー 一同


 

・[PDF] 脅威インテリジェンス導入・運用ガイドライン

20240809-02737

 

目次...

1 背景と目的
1.1 ガイドライン作成背景
1.2 本書の目的
1.3 主な対象読者
1.4 本書の活用方法
1.5 免責事項

2 脅威インテリジェンスの概要
2.1 脅威インテリジェンスとは
 2.1.1 脅威インテリジェンスの定義
 2.1.2 「脅威」と「インテリジェンス」の定義
 2.1.3 脅威インテリジェンスのライフサイクル
2.2 脅威インテリジェンスの分類
2.3 脅威インテリジェンス導入の意義・必要性
2.4 脅威インテリジェンスの動向・背景
 2.4.1 政治的要因(地政学上の脅威の増加)
 2.4.2 経済的要因(脅威分析結果から得られたサイバー攻撃による被害額の増加)
 2.4.3 社会的要因(企業への導入状況、業界動向)
 2.4.4 技術的要因(IT 技術革新にともなう脅威の複雑化)
 2.4.5 法的要因(セキュリティ・クリアランス制度)
 2.4.6 環境的要因(脅威アクターの動向と攻撃手口の変化)
2.5 脅威インテリジェンスの課題
 2.5.1 国際的課題
 2.5.2 日本特有の課題
 2.5.3 ヒアリング企業の課題

3 脅威インテリジェンス活動の全体像
3.1 脅威インテリジェンス導入における基本指針
3.2 脅威インテリジェンスに必要なセキュリティ成熟度

4 方針策定フェーズにおける実施事項
4.1 課題抽出
4.2 脅威インテリジェンスの目的の設定
4.3 インテリジェンス要件の策定
4.4 インテリジェンス要件を満たす情報収集方法の検討
 4.4.1 OSINT における情報収集の一例
 4.4.2 HUMINT における情報収集の一例
 4.4.3 SIGINT における情報収集の一例
4.5 情報収集における考慮事項

5 収集・加工フェーズにおける実施事項
5.1
情報集約方法
 5.1.1
脅威インテリジェンス共有プラットフォーム(TIP)
 5.1.2 脅威インテリジェンスベンダーサービス

5.2
情報収集技法
 5.2.1 RSS
 5.2.2 STIX/TAXII

6 分析フェーズにおける実施事項
6.1
戦略的インテリジェンスの分析技法
6.2
運用インテリジェンスの分析技法
6.3
戦術的インテリジェンスの分析技法

7 配布フェーズにおける実施事項
7.1
意思決定につながるインテリジェンスとは
7.2
インテリジェンス情報共有の取り組み

8 評価フェーズにおける実施事項
8.1
フィードバックと要件とのギャップ分析
8.2
ライフサイクルの改善

9 脅威インテリジェンスの成熟度評価

10 脅威インテリジェンス活用ケーススタディ
10.1
方針策定フェーズ
10.2
ケーススタディ:流行の脅威
10.3
ケーススタディ:特定業界・自社への警戒情報
10.4
ケーススタディ:他社インシデント
10.5
ケーススタディ:脅威アクターの動向・動機
10.6
ケーススタディ:自社で観測された脅威情報
10.7
ケーススタディ:経営層向け統合レポートの作成
10.8
(コラム)ケーススタディを実施したプロジェクトメンバーの所感

11 (APPENDIX)コンプライアンス型アプローチとの融合
11.1
脅威インテリジェンスの活用によるセキュリティ成熟度の向上
11.2
成熟度評価における優先対策項目の順位付け

12 謝辞

13 付録
13.1
用語集(A-Z -> あいうえお順)



 

中核人材育成プログラム 卒業プロジェクト 第7期生...


セキュリティ業務の自動化推進

セキュリティ業務の自動化を進める上で役立つ知識として、戦略的な実施順序や考慮事項、技術的なアプローチ手段についてまとめました。このレポートがこれからセキュリティ業務の自動化を推進していく方の支えになれば幸いです。

 

Visionary Security Zeroから始めるセキュリティ対策~

Visionaryなスタートアップ企業がより事業創出に集中できるよう、業界の特性に応じた市場に刺さりやすくなるためのセキュリティ対策など整理し、発信活動を行ってきました。その中で、医療現場を想定した動画を作成しました。医療系に関わらず、スタートアップ企業に関わるみなさまの参考になれば幸いです。

 

脆弱性対応におけるリスク評価手法のまとめ(脆弱性対応管理PJ

脆弱性対応管理業務におけるリスク評価に着目した内容をまとめました。日々膨大に公開される脆弱性情報に対して、全て対応することは現実的ではありません。そこでリスク評価を適切に実施し、緊急性の高いおよび対応不要な脆弱性を抽出することで、組織内の脆弱性対応の工数を削減することが可能になります。これを実現するために、CVSS EPSS 等の各リスク評価指標の特徴・役割を理解する必要が
あります。本書では、この各リスク評価指標の特徴・役割および運用例が記載されております。
本書が、各組織の脆弱性対応業務におけるリスク評価の参考になれば幸いです。

 

実務者のためのサプライチェーンセキュリティ

サプライチェーンセキュリティに関する考え方や取り組みの流れについて整理をしました。自社のサプライチェーンセキュリティにこれから携わる方や、サプライチェーンセキュリティの推進に悩まれている方の参考になれば幸いです。

 

448時間かけて分かったセキュリティルールに感じる“もやもや”の正体とは?

「情報セキュリティルール」こんな言葉を聞くと守らなきゃいけない固い存在に感じませんか?理由がわからず「守らされている」という状態では「もやもや」を感じる方もいらっしゃるでしょう。そんな「もやもや」に注目し「すっきり」解消したい、と考えて本書を作成いたしました。

 

脅威インテリジェンス導入・運用ガイドライン

脅威インテリジェンスの概要・定義・実施内容に加え、動向背景・効果などの経営層への提案に必要な内容をまとめたガイドラインです。脅威インテリジェンスは広い概念であるため、具体的な導入・運用方法を体系的に整理された公開資料が少なく、本書のケーススタディを参考にしていただければ幸いです。

 

セキュリティ啓発コンテンツ(インシデント演習・IoT/DXに関するセキュリティ対策)

防御・対応の観点から以下の2つの啓発コンテンツを作成しました。
(1)
インシデント対応における情報連携にフォーカスしたカードゲーム
(2)IoT
やDXに関するサイバー被害と対策を学ぶカードゲーム
これらを通して自社のセキュリティ強化および連携強化にお役立てください。

 

制御システムへのリモートアクセスに関するセキュリティ対策指南書

制御システムへのリモートアクセスを安全第一に導入・運用するために、企業アンケートから課題を整理し、リモートアクセス方式、リスク分析手法、セキュリティ対策、システムの検討プロセスなどを「指南書」としてまとめました。制御システムの技術者やセキュリティ担当者の参考となれば幸いです。

 

セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0

システム開発チームの初学者向けのセキュリティ教育ドキュメントを作成しました。主に設計開発者・品質保証担当者が読む想定です。ありがちなミスがセキュリティ事故に繋がるという著者らの考えた話(アンチパターン)から、セキュリティ・バイ・デザインを実践する上でやってはいけない事を学べます。

 

テキスト生成AIの導入・運用ガイドライン

生成AIの急速な発展に伴い広く普及されていますが、セキュリティに不安を感じる組織が多いと考えます。本書は導入担当者・運用担当者・セキュリティ担当者を対象に、テキスト生成AIのセキュリティリスクと対策について示しています。本書が安全で効果的な活用のための参考になれば幸いです。


 

|

« 米国 NIST SP 1800-35(第4次初期ドラフト) ゼロトラストアーキテクチャの実装 (2024.07.30) | Main | 英国 NCSC長官がブラックハットでサイバー空間における英国の選挙の安全確保について話をしたようですね... »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NIST SP 1800-35(第4次初期ドラフト) ゼロトラストアーキテクチャの実装 (2024.07.30) | Main | 英国 NCSC長官がブラックハットでサイバー空間における英国の選挙の安全確保について話をしたようですね... »