情報を流れに乗せよう:セキュリティ調査の共有方法
2022年06月14日 火曜日
CONTENTS
おはようございます。こんにちは。こんばんは。ふぇにっくちゅん です。
今回フォーカスする話題は“情報共有”です。
以前は、わたしのセキュリティ分野の分析について「Introduction/分析はパズル感覚で!:セキュリティ分野の分析(1)」として連載形式で紹介しました。
こちらの記事も併せて読んでいただけると幸いです。
わたしは日々、DDoS攻撃の発生源となるボット・ボットネットの解析や調査を行っており、調査結果の情報を共有しています。
この共有という言葉に悩まされている、そんな方も多いのではないでしょうか。
わたしもその一人でした。
情報を発信する際の悩みとして、誰に?いつ?どんな内容?を発信すれば良いのかに悩まされるのです。
逆に情報を受け取る際の悩みとして、手に入れた情報をどう活用すればいいのか?に悩まされます。
情報を発信するにしても、ブログなどの媒体では下準備に時間が割かれたりと、情報発信するために分析している感覚に陥りやすい傾向にありました。
本記事では、ふぇにっくちゅん が上記の悩みをどのように解決したかを紹介していきます。
同じように情報共有についてお悩みの方がいらっしゃれば、本記事が一つの参考になれば幸いです。
情報共有をする前に
まずは、テーマとなる“情報共有”について説明します。
情報共有とは、何かしらの情報 を 何かしらの方法で共有 するわけです。
この「何かしら」について、事前に考えておくことで効果的な情報共有ができるようになります。
では、情報共有を行うことで何を実現しようとしているのでしょうか?
情報共有することは手段の一つであるため、最も大切なのは“実現したいこと”です。
このことを明確にしておけば、情報共有のための分析ではなく、分析の一環として情報共有ができるようになります。
実現したいことを明確にしていなければ、情報を蓄積するだけになったり、一方的な情報発信になってしまう恐れがあります。
分析するには調査や解析が必要
DDoS攻撃を分析する際には、はじめにボットの解析や関連するボットネットの調査などを行っていきます。
わたしは分析という言葉を調査や解析の意味を含めて使うことがありますが、ここでは工程という意味で分けて考えます。
つまり、分析の前段となる工程で解析や調査を行う必要があります。
そのため解析や調査に時間を多く費やすと、分析する時間が少なくなってしまいます。
逆に、解析や調査に時間を掛けなければ、分析に必要な情報が少なくなり思うように分析が進まなくなってしまいます。
わたしは分析者として日々を過ごしているため、分析が進まなくなる状況は好ましくありません。
欲張りではありますが、解析や調査に時間を掛けることができ、分析時に必要な情報量と時間を確保する環境を作り上げたいのです。
何を実現するか?
「情報をつなげて関係をみつける:セキュリティ分野の分析(2)」でも紹介したように、分析は仮説を立てながら進めるため、解析や調査の工程でたくさんの情報を扱います。
分析はそれらの情報を解釈しながら進めていくため、多大な時間を必要とします。
その中でも調査については、時間の限りがありません。つまり、終わりがないという厄介な特性があります。
それでも、
なんとか分析を行えています
というのは、本記事で紹介する 情報共有の考え方 を新たにCHAGEに追加し、分析に関わる工程の効率を向上させたからです。
※ CHAGE はネットワーク情報に関連する様々な情報を検索できるシステムです。
※ 例えば、IPアドレスについて検索すると、IPアドレスを管理しているAS番号などの関連情報を辿り、Tree形式で表示します。
調査に終わりがないということは、解析や分析も依存して終わりがなくなります。
この厄介な特性のせいで時間が足りなくなるため、時間制約の上で行う調査について最大限の効果を発揮させるしかありません。
つまり「分析に関わる工程の効率を上げる」を実現したいわけです。
その実現方法の一つとして、情報共有という手段で解決できないか?を考えました。
以降では、分析効率を上げるためにどのようなことを考えて、情報共有の仕組みを考えたか?について紹介します。
情報の流れを良くしよう
情報共有という言葉を聞いて、読者の皆さんはどのようなイメージを持たれるでしょうか?
わたしは以下のように、扱う情報が人や時を越えてぐるぐると詰まることなく流れているイメージです。
詰まることなく流れるということは、情報共有のために わざわざ「共有する行為」をしなくても良い状況を生み出す必要があります。
つまり、情報共有のためだけに何かを特別な行為を行うことをしたくないというのが本音です。
「情報共有をしたいけど、情報共有のために活動したくない」。ワガママですね。
実は、他にもワガママがあります。
少しこれまでの話を整理しながら、他のワガママも含めて以下にまとめます。
- 情報共有の対象者
- 社内の調査・解析・分析者
- 情報共有の目的
- 分析の効率を上げる
- 情報共有する際のワガママ
- 情報の受信者
- 欲しい時に欲しい情報が得られる
- 必要な情報を受信者が精査する
- 情報の発信者
- 情報発信のために特別な活動をしない
- 共有した情報が効果的に使われる
- 情報の受信者
このようなワガママがでてくるのは、わたしが分析者であり、分析のために時間をできるだけ使いたいという思いがあるからです。
一方で、分析したことや取り組んだことを留めておくことはもったいないです。
そのため、情報共有も分析の一環であるという環境を作り上げたいという思いがありました。
それがワガママとなって上述したように表面化したわけです。
ではこのワガママをどのように解決すればいいのでしょうか?
情報共有の対象者である調査・解析・分析者が、主役であるためこれらの対象者を中心に考えてみます。
受信者のワガママを解決する
「欲しい時に欲しい情報が得られる」について
この調査・解析・分析者は普段から「調べる」という行動をとります。
特にセキュリティの分野において、IPアドレスやドメインなどのネットワーク情報について調べない人はいません。
つまり、必ずネットワーク情報を調べるタイミングが存在していることがわかります。
これが受信者のワガママである「欲しい時」です。
あとは、その時に共有するべき情報が得られるようにすればいいのです。
では共有するべき情報、すなわち受信者が欲しい情報とは何でしょうか?
これは受信者にしかわかり得ないことです。もしくは、受信者もわかっていないことがほとんどです。
つまり「欲しい情報」を事前に用意するという夢のような話は現実的ではないのです。
この事は、次に説明するワガママの「必要な情報を自分で精査する」と併せて考えると大きな問題ではない事がわかります。
「必要な情報を受信者が精査する」について
調査する立場としては、得られた情報の正確性などを別の情報源も併せて確認していきます。
つまり、調査という行為の中に情報を精査することが含まれています。
そのため情報共有の対象者である受信者が調査を続ける限り、自然と精査を行うため二つ目のワガママは気にする必要がないことがわかります。
得られた情報を精査する前提であれば「欲しい情報の候補をできるだけ多く提示する」ことが重要となり、より現実的です。
では、欲しい情報の候補とは何でしょうか?
これは調べる対象となる ネットワーク情報が含まれた情報 です。
調べたい対象が含まれた情報は、すべて欲しい情報の候補となります。
受信者は調査する人であるため、情報共有を意識することなく、情報を精査するなどの調査活動に専念できます。
発信者のワガママを解決する
「情報発信のために特別な活動をしない」について
次に発信者のワガママを解決し、発信者も情報共有を意識することなく調査結果を発信できるようにすることを考えます。
情報の発信者は、以下の3つについて頭を悩ませます。
以下は、発信者の悩みについて整理したものです。
- 誰に?
- 調査する人(社内の調査・解析・分析者)
- どんな内容?
- 調査した結果が書かれていればよい
- いつ?
- 情報共有のボトルネックになるポイント
これらを事前に整理しておかないと、情報共有の流れが滞ってしまいます。
いつ?については、少し考える必要があります。
情報共有の流れは、情報を発信しなければ始まりません。
つまり、情報発信のタイミングが情報共有の流れを詰まらせるポイントになることがわかります。
ここで、発信者の行動を考えてみます。
情報の発信者は調査する立場であるため、何かについて調べ、調べた内容をまとめて保存します。
仮にその情報を共有するのであれば、どこかのタイミングで調査内容を発信するという流れになります。
この「調査 -> まとめる -> 保存 -> 発信」の流れの中で、保存から発信の期間を短くしなければ、情報共有の流れが滞ってしまいます。
情報共有の流れを詰まらせないためには「保存->発信」とするのではなく「保存=発信」とすることが必要になると考えました。
これは情報共有の流れが滞らない他に、発信の手間を同時に解決します。
「共有した情報が効果的に使われる」について
受信者がしっかりと精査するのであれば、調査した情報が効果的に使われるはずです。
つまり、発信した情報が受信者にとって適切なタイミングで提示できることができれば、最大限の活用を受信者が行ってくれるわけです。
このことは、既に受信者のワガママで解決したことです。
上図のように、発信者の視点で「保存=発信」にすることで、情報発信における様々な悩みを排除することができます。
これは、受信者が欲しい情報を精査するということが担保されているため、発信者は調査に専念でき、保存するだけでいいのです。
情報共有の要件を整理する
ここまでの話題は以下の図のように「発信者 -> 受信者」としてのワンシーンであるため、最後に情報共有が流れる様子を説明します。
自然と情報が流れるためのポイントは、冒頭に示した以下のことです。
- 情報共有の対象者
- 社内の調査・解析・分析者
- 情報共有の目的
- 分析の効率を上げる
補足すると情報共有の対象者はいずれも「調査する人」であるため、情報の 発信者 でもあり 受信者 でもあります。
つまり調査する人は、この二つの立場を無意識的に切り替えているのです。
実は、情報共有を無意識のうちに自分一人でも行っています。
読者の皆さんも普段の生活で、忘れないようにメモを取ることがあると思います。
これは、自分から自分への情報発信なわけです。
過去の自分は他人という言葉があるように、未来の自分のためにメモとして情報を保存していると思います。
これも無意識ではありますが、言い換えてしまえば未来の自分のために「保存=発信」しているのです。
情報共有を複数人で行うと、以下のように情報が流れていきます。
上図のように、Aさんが調べた結果を踏まえた上で、Bさんが調査の続きを行うことができます。
時間を空けたAさんからみると、過去に自分が調査した結果に加え、Bさんが調査した結果を含めて再調査ができます。
これが分析の一環として情報共有を行えている一例です。
たとえば、IPアドレスなどの単純なネットワーク情報をキーワードとして検索できるようにすれば、自然と情報が流れていくのです。
このように、調査した内容を誰に発信すればよいか?逆に誰が自分の欲している情報を持っているか?などを気にすることなく、調査に専念できるようになります。
さいごに
今回は、情報共有という悩みをどのように解決したかを紹介しました。
分析の一環として情報共有する仕組みを組み込めば、自然と欲しい情報を見つけることができ、次なる調査を効率的に進めることができるようになります。
本記事の最後に、上述した図の「調査する人達の共有空間」について紹介します。
簡単ではありますが、共有空間は以下のようなイメージです。
CHAGE はネットワーク情報について検索できるシステムです。
新たに、ここまでに説明した情報共有の考え方を追加するため、CATSHAND というドキュメント管理システムを開発しました。
CATSHAND は文書などのドキュメントを保存する場になっており、ドキュメントに含まれたネットワーク情報を CHAGE で検索できるようにしました。
これで、調査することに専念しつつ、自然と情報共有ができるようになっています。
※ CATSHAND は猫の手も借りたいぐらい、調査の時間が欲しいという意味で命名しました。
では、このへんで最後とさせて頂き、本記事が少しでも参考となると幸いです。