セキュリティ・ベンダーの業界連合であるCyber Threat Alliance(CTA)が、米国RSAカンファレンスにおいて業界史に残る重大な発表を行いました。この発表は、社会全体の利益を見据えた業界連携の新時代を画するものであり、その手段として顧客保護の強化を目的としたベンダー各社による脅威情報の共有促進を掲げています。

CTAとは

CTAは、情報共有のためのマーケットプレイスを運営する非営利団体です。業界を代表するセキュリティ・ベンダー各社が参加し、サイバー攻撃キャンペーンに関する脅威情報を誠実、公平に共有し、製品の改善およびお客様組織のセキュリティ強化を図ることを目的としています。CTAが掲げる活動理念は次のとおりです。

  • 社会全体の利益のために: 情報共有を通じて、重要インフラの強化やお客様組織の保護に貢献する
  • タイムリーな情報共有: 具体的な情報をタイムリーに共有することで、攻撃を阻止・回避する
  • コンテキスト(背景)の重視: 特定の攻撃キャンペーンに関する正確なコンテキスト情報の共有を最重視する
  • 徹底的な透明化: すべての情報の出所を示し、ポリシーを常時開示、明確化する
  • 互恵関係: CTAから情報提供を受けるためには、メンバー各社が自ら情報を提供する必要がある

CTAがもたらす恒久的なメリットは、情報マーケットプレイスから入手できる、検証可能で具体的、ほぼリアルタイムのセキュリティ侵害情報、侵害の痕跡や証拠を共有し、CTAのメンバーが自社製品を強化できる点です。そしてこのメリットは、顧客保護の強化という最大目標の達成につながります。

チェック・ポイントがCTAに加盟した理由

チェック・ポイントをはじめ、セキュリティ・ベンダー各社のリサーチ・チームは、世界中ですばらしい成果を上げています。しかし、1つの組織が、世の中に存在するすべての脅威について知り尽くすことは不可能です。CTAに加盟し、自社の有用な調査結果を業界有数のベンダー各社と共有すれば、より網羅的で価値のある脅威情報フィードを構成できます。そしてこの情報フィードは、チェック・ポイントを含むCTAメンバーのお客様組織をより強力に保護することにつながるのです。

チェック・ポイントのCTA加盟は、「考えられる限り最良のセキュリティをお客様に提供する」を主要ミッションとする企業理念に沿うものです。創設メンバーとしてCTA加盟は光栄であると同時に、業界を代表するベンダーの1社としてCTAの取り組みをさらに推進し、お客様組織全体のセキュリティを強化していく責任を負います。

脅威情報の共有というCTAの現在の活動モデルには、非常に大きな意義があります。しかし、CTAはその枠にとどまらず、業界各社の協力関係を一層緊密にするための基盤となる可能性を秘めています。製品の完成度やイノベーションに関して、CTAメンバーが今後も切磋琢磨を続けていくことは言うまでもありません。しかし、お客様全体の利益のために、ベンダー各社が正式な制度の下でオープンに脅威情報を共有する取り組みは、もはや時代の必然といえます。

CTAは何が新しくなったのか

2014年5月に組織されたCTAは、これまで揺籃期にあたり、提供する価値は限定的でした。マルウェアの出現頻度が1日あたり数百万に及ぶ現状に対し、CTAメンバーが共有するセキュリティ侵害の証拠や痕跡に関する情報は1日あたり数千件といういわば大海の一滴にとどまりました。

今回、創立メンバー6社(新規加盟したチェック・ポイント、Cisco、ならびに既存のFortinet、Intel Security、Palo Alto Networks、Symantec)が新たに立ち上げたCTA Inc.は、正式な非営利法人であり、次に示す運営体制と加盟各社の義務および成果物を規定しています。

  • 法人組織 - CTAは、創設メンバーの出資の下、今年1月に非営利法人となり、1月23日には、取締役会の初会合を開催しました。
  • 会員 - CTAの最初の取締役会には、主要セキュリティ・ベンダー6社(チェック・ポイント、Cisco、Fortinet、Intel Security、Palo Alto Networks、Symantec)のCEOや経営幹部が名を連ねています。
  • プラットフォーム - CTAは、脅威情報のほぼリアルタイムでの共有を自動化するプラットフォームを新たに構築しました。
  • ビジョン - CTAは、事業目的として次の3項目を掲げています。
    1. 脅威情報の共有を通じて、メンバー各社およびお客様組織における高度なサイバー攻撃対策を改善する
    2. 重要な情報技術基盤のサイバー・セキュリティ対策を強化する
    3. 情報システムの安全性、可用性、完全性、効率性を高める

CTAの主要ミッションはあくまでも情報共有ですが、将来的には、初の当事者による当事者のためのサイバー・セキュリティ事業者団体として活動することを予定しています。このため取締役会では、徐々にCTAの活動範囲を拡大し、上記の事業目的2および3を推進するため、業界ベスト・プラクティスの策定などの取り組みに着手しています。

有用な脅威情報を共有するための仕組み

CTAが新たに構築した情報共有プラットフォームは、非常に高機能です。入力された共有情報を分析、検証して、優れた情報、有用な情報を出力します。メンバー各社がCTAの脅威情報を受け取るためには、資格要件を満たしていると見なされなければなりません。資格要件を満たすとは、毎営業日に一定の価値があるサイバー・セキュリティ情報を提供し、その情報に基づいて継続的に格付けを受けることを意味します。また、プラットフォームを通じて情報を共有し、受け取るためには、一定レベルの技術的能力を保つ必要があります。一定の価値がある脅威情報とは、次のような情報を意味します。

  • セキュリティ侵害の証拠や痕跡を示す情報:
    • ファイル・テキストなど目視可能な情報
    • キル・チェーン(一連の攻撃プロセス)の段階
    • マルウェア名などのコンテキスト
  • 攻撃キャンペーンや攻撃者などのコンテキスト情報

提供されたすべての情報は、価値ベースのアルゴリズムに基づいて評価されます。このアルゴリズムは、各ベンダーが提供した情報にポイントを割り当てた後、他の情報と相関分析して相互検証を行い、他のメンバーによる相関分析または反論に基づいてポイントを増減します。ベンダーにより提供された情報の価値によって、そのベンダーが見返りに得られる情報の量が決まる仕組みです。アルゴリズムの監督と管理は、その運営チームが担当します。運営チームは、情報共有とマーケットプレイスの安定化を促進するため、アルゴリズムを点検して定期的にアップデートを実施します。

メンバーは、見返りとして受け取る情報の種類を指定できます。例えば、次のような条件で情報を選択できます。

  • 情報の提供者
  • 攻撃者
  • データの提供日または発見日
  • 他のメンバーによる確認/検証
  • データ・タイプ(マルウェア、ドメインなど)

CTAのアルゴリズムは、プラットフォーム上での互恵的な情報共有の実現と、共有される情報の価値向上に重要な役割を果たします。CTAのメンバーは、業界全体の利益のため、そしてお客様組織の保護をさらに強化するために、このアルゴリズムを監督、管理して継続的に改善を加えていきます。

おわりに

正式に法人化されたCTAの創設メンバーの一員として、チェック・ポイントは光栄に思います。私たちは網羅的でタイムリーな脅威情報の共有を促進し、ひいては、お客様組織の保護強化に貢献するべく、この業界連合の運営に積極的に携わって参ります。

詳細については、CTAのサイト(英文)をご覧ください。