こんにちは、霜月です。
CRESTが公開している「Cyber Threat Intelligence Maturity Assessment Tools(サイバー脅威インテリジェンス成熟度評価ツール)」でセルフアセスしてみたので、本ツールについてまとめてみようと思います。脅威インテリジェンスをやっている方や組織の成熟度が気になる方の参考になれば幸いです。
それではどうぞ~m(o・ω・o)m
はじめに
近年、自組織内に脅威インテリジェンスに特化した専任部隊を構える企業が増えてきたように感じます。勿論、企業によって方針や体制は異なりますが、「脅威インテリジェンス」というキーワードはセキュリティの中でも一般的な分野になったという認識です(まあ、防衛関係では昔からありますが)。
そんな中で「インテリジェンスって定量的な評価が見えにくい」という意見を目にするようになったと同時に、「インテリジェンスってどこまでやればいいんだっけ?」という疑問もチラホラと聞くようになってきました。
まとめようと思ったきっかけ
「インテリジェンスどこまでやればいいのか問題」に関しては、業界や企業規模、経営戦略やセキュリティに対する考え方によって異なるため、一概に「ここまでやりなさい」という線引きは難しいのかなと感じています。ですが、まずは自組織の現状(成熟度)を把握し、可視化することから始めれば、今後の方針決めの参考になるのでは?と思いました。
CRESTとは?
まずは、聞き馴染みのない方もいるかと思うので、CRESTについて軽く紹介します。
CRESTとは、2006年に英国で設立した情報セキュリティを推進する非営利団体です。有名所だと、金融機関向けTLPTフレームワークである「CBEST」を英国中央銀行と開発したので、金融機関の方やペンテスターの方にとっては馴染みのある機関かと思います。
【補足】ベンダーにTLPTを依頼する際、一部の金融機関では、「CREST認定を保有していること」をベンダー選定の1つの基準としている場合もあります。DeloitteやPwC、Secureworksなど複数企業が認定を受けています。
Cyber Threat Intelligence Maturity Assessment Toolsとは?
それでは、ここからが本題です。Cyber Threat Intelligence Maturity Assessment Toolsとは、その名の通りインテリジェンス組織の成熟度を評価するためのツールです。
所謂、一般的な成熟度評価をイメージしていただければ良いのですが、脅威インテリジェンスの活動に特化した成熟度評価になっているため、「インテリジェンス」を軸に多角的な視点で設問が用意されています。例えば、「Supplier Selection」の設問の1つに「サプライヤーの選定基準を定義しているか?」など、よく見る一般的な設問もあります。
また、本ツールは「Summary level」「Intermediate leve」「Detailed level」の3種類が提供されています。まずは簡易的に概要を掴みたい方はSummary版を、ガッツリ詳細に評価したい方はDetailed版をお勧めします。
ツールの紹介
ツール本体はエクセルになっているので、各自でダウンロードして使用します(前述のとおり3種類あります)。また、アセスメント内のカテゴリは以下4つのフェーズと18のステップに分かれています。
成熟度は以下のような5段階評価になっています。
アセスメント方法
アセスメントは以下5つのステップで進めます。かなりボリュームはありますが、その分内容が充実したアセスメントとなっています。
- "Profile and Scope"シートを埋める
- "Target"シートを埋める
- "Weightings"シートを埋める
- "Assess"シートでアセスメントを実施する
- "Aggregated Results"で結果をレビューする
1の"Profile and Scope"では、業界や従業員数などの評価対象組織の基本情報を入力します。
2の"Target"では、成熟度のTargetを入力します。6つのオプション(Introductory, Standard, Important, Very important, Critical, Custom)から選択します。
3の"Weightings"では、各設問に対する重み付けをしていきます("×1"〜"×5"から選択)。インテリジェンスは組織ごとに方針や体制、重要視する観点が異なりますが、ここで調整ができます。面倒な方は、一旦デフォルト設定でも良さそうです。
4の"Assess"では、各設問に対して選択肢の中からガシガシ回答していきます。複数のシートに分かれており、中でも「Detailed level」は結構ボリュームあります。
各設問は「No, Initial, Partly, Moderately, Mostly, Fully, Don't know」から選択し回答します。
上記が完了したら、5の"Aggregated Results"で全体的な結果の確認ができます。レーダーチャートで表示してくれます。また、Assessで別れていたA〜Dの各シートについて、Targetとのギャップが見れるResultsシートもそれぞれあります。
その他の成熟度評価ツール
今回、CRESTのアセスメントツールをご紹介しましたが、似たようなものは他にもあります。IPAの「脅威インテリジェンス導入・運用ガイドライン」には、デルフト工科大学の提供する「Cyber Threat Intelligence Maturity Platform」が紹介されています。
気になる方はこちらもチェックしてみてください!
最後に
冒頭でも記載した通り、昨今、インテリジェンスに注力する組織が増えてきたように感じます。組織をレベルアップ、活性化していく中で、自分たちの現在地を把握することは今後の方針を検討する上で有意義なことだと考えています。
本ツールが気になった方は、是非一度ダウンロードしてセルフアセスしてみてください。
ということで、本ブログがどなたかのお役に立つと幸いですm(o・ω・o)m
ではでは〜!