サイバー脅威インテリジェンスを防御に活用するためのM3TIDに基づく成熟度アセスメントサービス

M3TID―敵の攻撃手法を理解し、組織の防御に活かす

M3TID(The Measure, Maximize, & Mature Threat-Informed Defense)は、米国The MITRE CorporationのCenter for Threat Informed Defense(以下、Center)が2024年4月に発表した、サイバー脅威インテリジェンスを防御に活用するためのフレームワークです。同フレームワークでは、Threat-Informed Defenseを「敵の手法や技術に対する深い理解を体系的に応用して防御力を向上させる防御方法」と定義しています。M3TID は、Threat-Informed Defenseの3つのディメンションごとに各5つ、合計15のキーコンポーネント別に成熟度を定義し、評価する仕組みです。組織はM3TIDを活用して成熟度レベルを把握し、改善すべき防御策を特定することで、サイバー防御力を向上させるための戦略的な意思決定につなげることが期待できます。
PwCコンサルティングは、各キーコンポーネントへの対応状況の整理から、それに基づく客観的な成熟度の判定、成熟度の向上に向けた優先対応事項の検出、具体的な成熟度目標の設定と対策案の策定まで、M3TIDの活用を包括的に支援します。

Threat-Informed Defenseの3つのディメンション

① Cyber Threat Intelligence(以下、CTI):サイバー攻撃者の行動を理解する

② Defensive Measures(以下、DM):攻撃者を理解した上で技術的/非技術的な防御を実施する

③ Testing & Evaluation(以下、T&E):脅威情報に基づいて継続的にアセスメントを行い、防御策の改善点を特定する

図表1:M3TID の15のキーコンポーネント

成熟度アセスメントサービスの詳細

図表2:アセスメントのアプローチ

1. 現状把握

M3TIDではその成熟度を判定するため、各キーコンポーネントへの組織の対応状況のレベルを入力することで、成熟度スコアが判定されるアセスメントシートを提供しています。PwCコンサルティングは、ヒアリングにより各キーコンポーネントへの対応状況を整理し、定義されたレベルに客観的に紐づけることで、成熟度判定の推進をサポートします。

図表3:キーコンポーネントの成熟度レベルの例

ディメンション

キーコンポーネント

概要
(日本語参考訳)

レベル
(日本語参考訳)

CTI I.3- Relevance of Threat Data
脅威情報はどこから来ているのか、どの程度タイムリーなのか レベル1. なし
レベル2. 一般的なレポートまたは無料で利用できるレポート
レベル3. 内部レポート
レベル4. 最近の詳細なレポート(多くの場合、サブスクリプションが必要)
レベル5. カスタマイズされたブリーフィング
DM D.5- Deception Operations 防御目標と新しい脅威インテリジェンスの収集を可能にするためのDeception技術の運用は、どの程度広範囲かつ効果的か レベル1. なし
レベル2. 疑わしい実行可能ファイルのサンドボックス化(例:電子メールの添付ファイルを配信前に処理する)
レベル3. 1個、あるいは数個のハニー(ポット、トークン、ドキュメントなど)が展開および監視され、悪意のある使用の検出と早期警告が可能
レベル4. ハニーネットワークの展開と監視
レベル5. 現実的なハニーネットワークにおける意図的で長期的なDeception活動
T&E T.2- Frequency of Testing
テストは変化する攻撃者や防御されたテクノロジーに対応しているか レベル1. なし
レベル2. 年次または臨時
レベル3. 半年ごと
レベル4. 毎月
レベル5. 継続的

2. 結果分析

アセスメント結果を分析し、Threat-Informed Defenseのサイクルの中で成熟度向上のため優先的に対応するべきコンポーネントを検出します。全体スコアは「Defensive Measures>Cyber Threat Intelligence>Test & Evaluation」の順番で重み付けされて計算されています。これは防御策を実装することが最も重要というCenterの考え方によるものです。PwCは独自に設定したキーコンポーネント間の関連性に基づき、成熟度の向上に向けた優先対応事項を検出します。

図表4:サンプル組織の各コンポーネントの成熟度のレーダーチャート(例)

出典:レーダーチャートのフォーマットをもとにPwCが作成

15のキーコンポーネントの成熟度は、上記のようなレーダーチャートで確認できます。このサンプル組織の分析結果例では、①から⑤の点を優先対応事項として特定しました。

図表5:優先対象事項の特定理由(例)

No.

キーコンポーネント

特定理由

I.2 - Breadth of Threat Information
I.3 - Relevance of Threat Data
このサンプルではI.1に比べて2および3は成熟度が低いため、これらを向上させてCTIを底上げする。
I.4 - Utilization of Threat Information
I.5 - Dissemination of Threat Reporting
I.4とI.5は脅威インテリジェンス活用に向けて他のディメンションへも影響が大きい。
D.2 - Data Collection
D.3 - Detection Engineering
D.2およびD.3は攻撃の的確な検知を行うポイントのため、着実な成熟が求められる。
D.5 - Deception Operations D.5のDeceptionを実施し、攻撃の防御と組織独自の脅威インテリジェンス収集を行う。
T.3 - Test Planning テストの計画段階で脅威インテリジェンスを取り入れ有効性を高める。また適切なメンバーの参画により、テスト結果を早期にDMに反映させる。

3. 改善案策定

前フェーズで特定した優先対応事項に対応するため、組織内の担当者と対話した上で、関連するキーコンポーネントごとに具体的な成熟度目標を設定し、それを実現するための対策案とその対応順位を作成します。

図表6:改善案(例)

キーコンポーネント

目標
成熟度

対策案(概要)

対応
順位

I.2 - Breadth of Threat Information

 

2

脅威情報は、現状のIOC(Indicator of Compromise)の採用に加え、自組織の想定脅威アクターが用いるツールやソフトウェアの情報も採用する。

2

I.3 - Relevance of Threat Data

2

社内向けにまとめられた脅威情報レポートを作成し、利用する。

3

I.4 - Utilization of Threat Information

 

2

脅威情報を定期的に入手して分析する。

1

I.5 - Dissemination of Threat Reporting

2

組織内脅威レポートにはIOCに加えて、攻撃者が用いる行動(TTP)も示す。

4

D.2 - Data Collection

3

脅威インテリジェンスに基づく検出要件を考慮したログデータ収集を実施する。

5

D.3 - Detection Engineering

2

検知ルール・分析を脅威インテリジェンスに基づき自組織向けに優先順位を付けて活用する。

6

D.5 - Deception Operations

1

メールの添付ファイルやURLリンクなどのコンテンツに対しサンドボックスにて動作分析を実施する。

7

T.3 - Test Planning

2

セキュリティテストは脅威インテリジェンスに基づくアクターやTTPを考慮して優先順位を付け、計画的に実施する。

8

図表7:対策案実施後の成熟度レーダーチャート(例)

出典:レーダーチャートのフォーマットをもとにPwCが作成

上記サンプルは優先対応事項のみへの対策案の検討ですが、実際のサービスでは組織の中長期的なThreat-Informed Defenseの成熟度向上を考慮した改善策を策定します。

国内企業に期待される効果

PwCの調査レポート「ジオテクノロジー(技術の地政学)とサイバーセキュリティ」において、日本はサイバーインテリジェンスに課題があると示されており、特にCTIの成熟度が低いと考えられます。CTIはThreat-Informed Defense活動の起点であり、CTIの成熟度が低い場合、DMやT&Eのキーコンポーネントの効果が得られなくなる懸念があります。日本企業は、組織内で脅威インテリジェンスを生成して適切に伝達するといったCTIの成熟度向上を実現させることで、効果的なDMおよびT&Eの成熟につなげることが期待されます。


インサイト/ニュース

20 results
Loading...
Loading...

主要メンバー

村上 純一

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

染谷 方子

マネージャー, PwCコンサルティング合同会社

Email

本ページに関するお問い合わせ

We unite expertise and tech so you can outthink, outpace and outperform
See how