【文字起こし】OpenCTIを展開するFiligran社 CEO Samuel Hassine氏にインタビューしました

以下にインタビューの内容を記しますので、ぜひご覧ください。

Samuel氏へのインタビュー

弊社代表取締役　宮村信男（以下、宮村）

今日は、OpenCTIを展開しているFiligran社のCEOであるSamuelさんにお越しいただきましたので、お話を聞いていきたいと思います。

まず最初に、皆さまに向けて、自己紹介をお願いできますでしょうか？

Filigran社　CEO　Samuel Hassine氏
（以下、Samuel氏）

ええ、本日はお招きいただきありがとうございます。
私は、Filigran社のCEOであり 共同創業者のSamuelと申します。Filigran社はヨーロッパのサイバーセキュリティ企業で、OpenCTIやOpenBASを手掛けるソフトウェアベンダーです。

宮村

それでは、いくつか質問をさせていただきます。

まず最初に、これまでのサイバーセキュリティ分野でのご経験について、もう少し詳しくお聞かせいただけますでしょうか？

Samuel氏

はい、私は15年間にわたりサイバーセキュリティ分野で仕事をしてきました。主に、フランスのサイバーセキュリティ機関であるANSSI（英国のNCSCや米国のCISAに相当する組織）で勤務しており、そこでサイバー脅威インテリジェンスチームを率いていました。

宮村

素晴らしいですね。

あなたがOpenCTIの発案者であると思いますが、このアイデアをどのように思いつき、どのようにこのプロジェクトを始めたのかを教えていただけますでしょうか？

Samuel氏

ANSSIにいた頃、私たちはナレッジ・マネジメント（Knowledge Management）に関して非常に大きな課題を抱えていました。特にサイバー脅威に関する知識というのは、技術的なデータと戦略的なデータを統合するのが非常に難しい状況でした。歴史的に見ても、このような知識は分断されがちで、一方にはIoC（Indicator of Compromise）や技術的なシグネチャといったサイバー脅威を管理するためのデータがあり、もう一方にはキャンペーンの概要、TTP（戦術・技術・手順）、被害者に関する戦略的なデータがあります。私たちは、これらのデータを統合して活用し、運用可能な形にすることに非常に苦労しました。

そこで、OpenCTIを開発するというアイデアが生まれました。このプラットフォームは、サイバー脅威インテリジェンスに関するすべてのデータと知識を、構造化された形で一つにまとめ、統合的に利用できるようにすることを目的としています。

宮村

それでは、この会社を立ち上げた際に直面した課題について教えていただけますか？

Samuel氏

私たちがOpenCTIに取り組み始めたのは、Filigran社が設立される前のことでした。当初は空いた時間を利用して開発を進め、この製品をオープンソースのプラットフォームとして構築しました。このプラットフォームのかなり初期段階において、世界規模の非常に重要で活発なコミュニティを形成することができました。たとえばMITREとの協力を得たり、多くの人々がこのプラットフォームに興味を持ち始めました。この業界で初めて、サイバー脅威インテリジェンス業界で非常に重要なSTIX標準を基盤にしたプラットフォームを構築する試みだったためです。そのため、最初の課題は、製品を構築し、このコミュニティのニーズを把握することでした。

しかし、1年半が経ち、コミュニティが非常に大きく重要な存在になった際に、製品を支える会社が存在しないことが障壁になり始めました。特に、ロードマップの実現を加速させるための支援が不足している点が課題となり、製品の採用が進みにくくなってしまいました。さらに、私たちにはより大きな野心もありました。私たちが構築したシステムには膨大な知識が含まれており、組織にとって非常に有益であると理解していたからです。このデータを最大限に活用するためには、他のシステムと連携し、そのデータを活用する仕組みを構築する必要がありました。この「脅威管理（Threat Management）」というビジョンについては、また後ほど詳しくお話しできればと思いますが、これらの背景を踏まえて、会社を設立することを決断しました。

初期の最大の課題は、たった2人で小さなツールに取り組んでいたところから、フルチームとして80人規模の組織に成長させることでした。現在、80人のうちの約半数が研究開発に従事しています。

現在の課題は、主にAIの活用やデータの管理といった、新しいユースケースに取り組むことにシフトしています。

宮村

なるほど、理解しました。

私たちは多くの日本のお客様と働いてきましたが、お客様が脅威インテリジェンスを十分に活用しようとしてみても、情報が膨大すぎて、どのように対処すればよいのか、対応に困ってしまうことがあります。

そのような状況に直面している日本のサイバー脅威インテリジェンスの実務者の方に向けて、何から始めれば良いか、段階的なアプローチで、どのような課題を克服すべきか、アドバイスをいただけますか？

Samuel氏

サイバー脅威インテリジェンスにおいて重要なのは、そのライフサイクルを理解することです。これは、まず計画から始まり、データの収集、データの活用と進んでいきます。

しかし、業界でよく見られる課題として、多様なデータソースの存在が挙げられます。たとえば、アタックサーフェス管理、ダークウェブの監視、商用フィード、オープンソースのフィードなどがあります。最初の課題は、これらのデータを標準化された形で統合することです。このプロセスを通じて、データを構造化し、統一されたデータモデルに基づいて整理する必要があります。これが適切に行われていない場合、特に、タクソノミー（分類体系）が正確に適用されていないと、運用面で大きな困難が生じます。そのため、最初のステップとして、データをしっかりと構造化し、統一された形式で集約することが重要です。

次に考えるべきは、自社のインテリジェンス要件や収集要件です。つまり、脅威インテリジェンスプログラムを通じて何を達成したいのかを明確にする必要があります。たとえば、脅威検知能力やインシデント対応能力を強化したいのか、経営層向けのレポートを作成したいのか、リスク分析を行いたいのか、といった目標を定めます。これらが、脅威インテリジェンスプログラムの立ち上げや運用の形を決定づける重要な要素となります。

選択すべきデータソースや導入するツールを決めたら、それを基にプロセスをスタートし、徐々に改善を重ねていくことが重要です。

一般的には、3段階のロードマップがあります。

最初のステップは、技術的な側面に焦点を当てたものです。つまり、より効果的な保護を実現したい、脅威主導型のインシデント対応を行いたい、といった内容です。

第2のステップは、TTP（戦術・技術・手順）やキャンペーンに焦点を当てることです。これにより、セキュリティのロードマップを調整することが可能になります。たとえば、5年先を見据えた大規模なロードマップがある場合、その中に脅威情報を反映させ、優先順位をつけて実行計画を立てることが求められます。

そして第3のステップは、「脅威情報に基づくアプローチ」もしくは「脅威主導型アプローチ」と呼ばれるものです。この段階では、すべてのサイバーセキュリティプログラム、導入するツール、そして構築する仕組みが、脅威インテリジェンスによって駆動され、その情報を活用する形になります。

宮村

なるほど。お話を伺っていると、お客様側にも一定の成熟度が求められると感じました。

OpenCTIを十分に活用するためには、お客様にはどのような成熟度レベルが必要なのでしょうか？

Samuel氏

正直に申し上げると、私たちは当初、この製品を脅威インテリジェンスプログラムを始めようとしている人々、つまり、初心者でも利用できるように設計しました。

ただ、通常、このようなプログラムを始める組織は、すでにセキュリティ運用（SecOps）全般において中～高程度の成熟度を持っている場合が多いです。

とはいえ、私たちはこの「ハードル」を下げることを目指し、OpenCTIを成熟度の低い組織でも活用できるようにすることに注力しています。

実際、ヨーロッパでは、プログラムを始めたばかりの企業が、専任の脅威インテリジェンスチームを持たず、少数のメンバーで脆弱性管理、検知エンジニアリング、インシデント対応を行いながら、OpenCTIを非常に効果的に活用しています。

このプラットフォームは、脅威インテリジェンスプログラムの成熟度向上を支援し、そうした組織の成長を後押ししています。

さらに、将来的には、OpenCTIをより使いやすく、脅威情報管理の「日常的なアシスタント」となるように進化させる予定です。成熟度が高くない顧客であったとしても、少しの情報を入力するだけで、私たちが情報源を選択し、初日から価値を実感できる使いやすいプラットフォームにすることが目標です。

宮村

このお話をする前に、生成AIについて少し議論させていただきましたが、製品への生成AIの活用に関する計画を皆さまにもご共有いただけますでしょうか？

Samuel氏

サイバー脅威インテリジェンスの実務者が共通して抱える課題を、生成AIを活用して解決しようとしています。いくつかの具体的なユースケースをプラットフォーム内に導入する計画がありますので、その中から3つの例を挙げたいと思います。

まず1つ目は、非構造化データの処理に関する問題です。つまり、PDFファイルやExcelファイルなど、構造化されていないデータのことを指します。これらをSTIX形式などに構造化する必要がありますが、大規模な組織でさえ、上手く処理できず、対応に苦慮しているのが現状です。そこで、生成AIを活用し、自然言語処理（NLP）能力を向上させることで、非構造化データを正確にモデル化できるようにすることが第一のユースケースです。私たちは、生成AIを他の技術と組み合わせることで、この課題に対処しようとしています。

2つ目は、サイバーセキュリティスタックの利用における課題への対応です。たとえば、SIEMやXDRのようなプラットフォームでは、主に技術的なアナリストが操作を行いますが、OpenCTIではその点が異なります。技術的なセキュリティエンジニアに加えて、地政学的脅威に焦点を当てた非技術的なユーザーも利用します。たとえば、ロシアや中国のAPT（Advanced Persistent Threat/持続的標的型攻撃）に関心を持つユーザーなどです。こうした非技術的なユーザーがプラットフォームに対して簡単な質問をしたとき、それに対してプラットフォームはSTIXモデルを知らなくても利用できる形で適切な回答ができなくてはなりません。たとえば、「日本のエネルギー業界を標的とした、前四半期のロシアに起因する最新のキャンペーンは何か？」という質問に、現在のプラットフォームでも答えることは可能ですが、ユーザー側がSTIXモデルの知識を持ち、どのデータをどのようにフィルタリングすればよいかを理解している必要があります。この点を改善し、より簡単にデータにアクセスできる方法を提供することが目標です。

3つ目は、相関関係の強化に関するものです。私たちの目標は、プラットフォームをよりプロアクティブ（積極的）なものに進化させることです。これまでの10年間、サイバー脅威インテリジェンスは非常にリアクティブ（受動的）なアプローチが主流でした。たとえば、IoCを収集し、侵害が発生したりアラートに対応したりする形で、インシデント対応や事象の確認を効率化してきました。しかし、私たちはプラットフォームを真にプロアクティブなものにしたいと考えています。そのために、生成AIを活用し、相関エンジン（Correlation Engine）と呼ばれる仕組みを導入します。これにより、プロアクティブな対応を大幅に強化することを目指しています。たとえば、「何かが進行中だ」という兆候を検知した場合、それが現在はまだ直接影響を与えていなくても、過去に発生したインシデントと非常に似たパターンであれば、事前にアラートを発することが可能となります。または、すでにインシデントが発生したときに、類似する活動がプラットフォーム内で検知された場合、それに基づいて適切なアラートを提供することができるようになります。このように、プラットフォームをよりプロアクティブなものにしていきたいと思います。

宮村

これは少し難しい質問かもしれません。

多くの組織、たとえば政府機関や企業は、サイバーセキュリティ対策に数百万ドルもの予算を投じていますが、それにも関わらず、毎年多くのインシデントが発生しており、その数は減るどころか、むしろ増加傾向にあります。また、インシデントの規模、特に金銭的な被害額も、ますます大きくなっています。

この状況を引き起こしている原因は何だとお考えでしょうか？また、この状況を改善するために、OpenCTIのようなソリューションをどのように活用すべきでしょうか？

Samuel氏

とても良い質問です。まさに私たちFilgran社が取り組んでいる目的そのものです。

私たちは「脅威管理（Threat Management）」と呼ばれる新しい分野を市場にもたらしています。これは、予測（anticipation）に重点を置いたアプローチです。予測に焦点を当てるプレイヤーは多く存在しますが、Filigran社がユニークなのは、主要プレイヤーと補完的な関係にあることです。私たちがCrowdStrike、Palo Alto、Microsoftといった企業とも協力してるのは、まったく同じ分野ではないからです。彼らは主に検知と対応に重点を置いていますが、一方で、私たちはそれを補完し、異なる視点からのアプローチを提供しています。

この分野を効果的に活用するには、以下の3つの柱が重要です。

まず、自分たちの脅威環境を正確に把握する必要があります。これは単にダークウェブの監視や商用のフィードを使うだけでは不十分です。自分たちの外部環境と内部環境の両方、過去のインシデントの情報、そしてそのすべての知識を包括的に理解する必要があります。

次に、その知識を活用して、自分たちのセキュリティ体制をテストする必要があります。この部分が非常に重要で、知識を持っているというだけでは不十分です。もちろん、その知識を活用して検知や反応なども行いますが、その知識を利用して自身の体制（ポスチャー）が良いのか良くないのかを確認し、評価する必要があります。たとえば、1年前に侵害を受けたとします。「全く同じ手口や戦術が再び使われた場合、今の体制で十分に対応できるのか？」という基本的な質問に答えられる必要があります。このため、新たな脅威や戦術に対して、今持っている知識をもとに常にテストを繰り返すことが必要です。

最後は、行動を起こすことです。具体的には、自分たちの体制が十分でないと分かった場合、設定の変更、新たな検知措置の導入、環境の調整などを迅速に実施する必要があります。この「知識に基づいて行動に移す」ことを短期間で回すことが重要です。現在、多くの成熟した組織でさえ、このループを構築し、脅威インテリジェンスから具体的な設定変更や行動に結びつけることには苦労しています。

宮村

それでは最後の質問です。

今後3～5年の日本市場における計画やアイデアについて教えていただけますでしょうか？

Samuel氏

Filigran社はまさにグローバルな企業です。すでにアメリカにチームがあり、アジア太平洋地域では、現在、オーストラリアに拠点を置いています。

そして、日本は、間違いなく、最優先にしたい市場の一つです。日本市場に投資したいと考えている理由は、他の国々と同様に、私たちが提供するソリューションが、まさに今、ベーシックなものであると考えているからです。いわゆる「付加価値」や「おまけ」ではなく、すべての組織が対処すべき基本的な要素だと考えています。

2～3年以内には、ローカルの人材で構成されたチームを設立する計画があります。優れたチームを構築し、パートナー企業やお客様を支援できる体制を整える予定です。日本のパートナーやお客様にとって価値ある存在となれるよう努めたいと思っています。

インタビュー動画をご覧になるには

こちらのインタビューを動画でも公開しております。(約15分程度の動画です)
下記ページより、ぜひインタビュー動画もご覧ください。

【動画】OpenCTIを展開するFiligran社 CEO Samuel Hassine氏にインタビューしました

OpenCTIとは

サイバーセキュリティにおける課題は、膨大な脅威情報の分散、リアルタイム分析の難しさ、組織間での情報共有の非効率性です。これにより、脅威への迅速な対応が困難になり、攻撃リスクが増大します。

OpenCTIは、サイバー脅威インテリジェンスの管理・分析を行うオープンソースプラットフォームで、脅威情報の収集、共有、可視化を効率化し、セキュリティチームの意思決定をサポートします。

OpenCTIに関する詳細については、下記よりご覧ください。

OpenCTI