今回はこちら。サイバーセキュリティにおける「集団行動(=Collective Action)がテーマです。オープンソースの脅威インテリジェンスプラットフォーム(=MISP)やGitHubなどが有名です。脆弱性だとZero Day Initiativeなんかもありますね。人間の自発性に頼った集団行動は果たして良い結果につながるのか?見ていきましょう。
Journal of Cybersecurity, Volume 9, Issue 1, 2023, tyad021, https://doi.org/10.1093/cybsec/tyad021
もくじ
どんな人におすすめ?
オープンソース系の基盤や活動の運営側の人たちや、政策立案などに関わるような不特定多数を巻き込んでいかないといけない仕事をしている人向けの内容です。特にタイトルの通り、ゼロデイ脆弱性が発見されたときのような緊急性を伴う事案への対応を想定している人向けです。
この研究の大きなテーマは「人間社会の情報共有の在り方」です。この情報社会に生きていく中で必ず耳にするのが「情報共有」という言葉です。それを深く研究してみたら当たり前のことが証明されたという内容です。ちなみに、知り合いのリサーチャーがこう言っていました ー「情報共有」と「情報公開」は違う。情報公開はいわゆるマス向けのコミュニケーションのひとつで広く市場に対して情報をあけっぴろげにすること。情報共有は一部の人たちの間だけでも起こります。一口に情報共有といってもグラデーションがあるんだぞ、ということですね。特に、安全保障の議論やAPT関連の情報を扱う場面ではこの思考の細分化は重宝するので覚えておきましょう。
どんな内容?
オープンソースの脅威インテリジェンス共有プラットフォームである「マルウェア情報共有プラットフォーム (MISP) 」への参加と貢献が、新たに発見された脅威情報を明らかにするまでに要する時間にどのように影響するかを調査しています。もうちょっと平たく言うと、みんなで脅威情報を共有することで未知の脅威を既知にするまでの時間って本当に短くなっているか、を検証しています。
MISPっていうのは Malware Information Sharing Platform の略で、いわゆるオープンソースの脅威インテリジェンスプラットフォームです。誰でも使える基盤ですね。日本だと、NTT DataやLACなどが詳しく解説してくれています。多謝。使い方としては、IoCをMISPから引っこ抜いてきて、SEIMやFirewallに反映する感じです。新鮮かつ大量の脅威情報を自動で自社セキュリティに反映できるます。サイバーセキュリティ版の元気玉みたいな感じかな。
検証手法は、多変量解析を使った仮説検証法です。めちゃくちゃまっとうなやり方。2022 年 2 月 8 日の時点では、MISP CIRCL(=ルクセンブルクのCERT) インスタンスは 1,908 の組織 (それぞれ 4,013 人のユーザー) からなるコミュニティで、2008 年 11 月 10 日以来、39,639 のイベント、9,099,685 の属性、および 3,786 のタグに貢献しているそうです。この約4万のイベントをソースとして、イベントが作成されてからクローズされるまでの時間を「パフォーマンス」として、それに大きな影響を与える変数は何かを調べています。なるほどねぇー。
注目ポイント
集団行動を見るときにまず考慮すべきは「フリーライダー問題」です。Wikipediaにも詳しく載っていたのでリンク張っておきます。これは社会問題や企業内問題としてもよく挙がるもので、サイバーセキュリティの世界でも例外ではありません。オープンソースやインターネットを見ているとわかる通りです。
ちなみに今回の研究で調査したMISP CIRCLの場合、1,423の組織、すなわち参加企業の約75%の組織は、MISPの脅威情報の共有に参加してないことがわかっています。参加者の3/4がフリーライダーということです。また、投稿数TOP10の団体が全投稿の66.62%をに貢献しています。すなわち、MISP CIRCLにおける団体による投稿の分布はベビーテールということが証明されています。うまくいっているMISPでもそんな感じなのね。
そしてここからが本題。本研究で設定された仮説とその検証結果は以下のとおりです:
- イベントごとの属性とタグの数はパフォーマンスに悪影響を及ぼす(=脅威の性質が複雑になるほど特定までの時間が長い)➡ 正しい
- 全体的なパフォーマンスは、集団行動に参加している組織の数が多いほど高まる(=情報共有に参加している人数が多いほうが解決が早い)➡ 正しい
- 焦点となるイベントがある場合、同時に開いているイベントの数はパフォーマンスを低下させる(=深刻な脅威が起きている場合、それ以外の脅威の解決時間が長くなる)➡ 不明
- 経験豊富な組織ほど、事象の迅速な解決に貢献する(脅威関連の既知情報を多く蓄えているほど、未知の脅威への対応が早い)➡ 正しい
- 既存イベントのタグと属性の再利用は、新規イベントの完成度向上にプラスに寄与する(既存の機能を使えるほうが解決が早い)➡ 正しい
- 集団行動におけるモジュール性はパフォーマンスにプラスの影響を与える(ちょうどいい塩梅の情報粒度だと解決が早い)➡ 部分的に正しい
全部当たり前っちゃ当たり前のように見えますが、この仮説を統計的に正しいと明らかにしたのがこの研究のすごいところです。総じて「より多くの人たちが参加して、形式知として蓄えていけば成功する」と言えそうです。形式知としてってところが難儀ですが。野中郁次郎先生の先見の明に戦慄すら覚えます。
感想
昨年くらいから盛り上がっている「能動的サイバー防御」いう概念でも、情報共有とか情報公開の議論がありました。そしてまだあります。今回紹介した研究ではオープンソースプラットフォームを題材としているので国家機密の扱いとなると話は別ですが、脅威インテリジェンスを活かしきるには当事者となる組織の数と組織学習能力は間違いなく重要となりそうです。
そして、サイバーセキュリティにとって最も貴重な資源は「時間」であるということを再認識しました。以前紹介した論文にもありましたが、サイバーセキュリティはつまるところ時間との勝負です。できるだけ時間を短縮できる仕組みを各社で模索していると思っていろんな話を聞くと、見えてくるものがあるかもしれません。
最後までお読みいただきありがとうございました。ではまた次回。
おわり
