この記事は2024年3月7日に「The Finance」で公開された「脅威インテリジェンスとは?概要からツールまでやさしく解説」を一部編集し、転載したものです。
脅威インテリジェンス(Threat Intelligence)は、サイバー脅威に関する情報を理解し、予測・検知、さらに対応するために重要な役割を果たします。本稿では、絶えず進化するサイバー脅威に対し、組織が採用する重要な戦略の一つである「脅威インテリジェンス」の概要から運用方法、そして代表的なツールに至るまで、包括的に解説します。
目次
脅威インテリジェンスとは
脅威インテリジェンスとは、サイバーセキュリティ分野において、組織に対するサイバー攻撃を行う「攻撃のメカニズム」や「マルウェアの動向」などの脅威に関して、情報の整理・分析が行われ、根拠に基づいて出された有効な情報やデータのことを指します。
近年、あらゆる業界でデジタル化が進み、企業や組織におけるサイバーセキュリティの重要性はさらに高まっています。そのため、脅威インテリジェンスへの注目も急速に高まっています。
脅威インテリジェンスには、「戦略的インテリジェンス」や「戦術的インテリジェンス」、「技術的インテリジェンス」など複数の種類があり、それぞれの情報を活用することで、サイバー攻撃の防御につながります。常に新しい脅威が生まれてくる分野だからこそ、最新の情報収集はもちろん、適切な分析を行い、ビジネスを保護する施策を打つことが必要です。
脅威インテリジェンスが重要な理由
企業の資産や情報などを守るためにも、脅威インテリジェンスの情報を活用することは重要です。単純なセキュリティリスクについても脅威がどのように実行されるのか、脅威の指標はどの程度なのかを知っていなければ、適切な対応は行えません。
たとえば標的型攻撃(APT攻撃)に関するデータを取得しておくことは、これから起こりうる未知の脅威についての対応も適切に行えるようになります。こうした対応ができることで、万が一の際の被害を最小限に抑えられることにつながります。
さらに組織が直面するリスクにはどのようなものがあるかを明確にし、適切なセキュリティ対策を施す意思決定もスムーズに行えるようになります。セキュリティ被害時にかかるコストを勘案すると、攻撃を迅速に防止および阻止することは、コストの削減にもつながる可能性があります。
組織がサイバー脅威に効果的な対策を施し、自社のビジネスの安全性はもちろんのこと持続的に行っていくためにも必要なものと言えます。
脅威インテリジェンスの歴史
インターネットの発展によりサイバー攻撃が激化していく中で、CERT (Computer Emergency Response Team)と呼ばれるサイバー攻撃に特化した対策グループが各国で設置されました。
米国では、1988年にカーネギーメロン大学で「CERT/CC」が設立され、2003年には政府系CSIRTとして「US-CERT」が設立されました。2010年にはUS-CERT、CERT/CCにより脅威情報が構造化されたアーキテクチャーの検討を開始しました。
その結果、脅威情報構造化記述形式と呼ばれる「STIX (Structured Threat Information eXpression)」が策定されました。STIXにはサイバー攻撃に活動関連の項目が記述されており、米国政府がさらにブラッシュアップを図るために資金提供を行い、バージョンを更新しています。
また、STIXの情報を交換するために検知指標情報自動交換手順と呼ばれる「TAXII (Trusted Automated eXchange of Indicator Information)」が2013年4月に正式発表されました。
そして2016年10月、脅威インテリジェンスをさまざまな組織と共有することを体系化したSP800-150と呼ばれる「Guide to Cyber Threat Information Sharing (サイバー脅威情報共有のガイド)」を策定し、サイバー脅威に対抗するために、情報は信頼できる相手と共有し活用することが重要だと提唱しています。
脅威インテリジェンスの種類
(1)戦略的脅威インテリジェンス
例えば、自社のサイバー脅威における傾向や動向を踏まえて組織のセキュリティポリシーを策定したい、などといった、将来のリスクとサイバー脅威に対して長期的な視点から分析し、組織が適切な意思決定を下すための支援に活用できます。
報告のタイミングは年次レポートしてまとめられることが一般的です。
戦略的脅威インテリジェンスを活用することで、組織は効果的に将来の脅威に備え、影響を最小限に抑えるための準備が可能になります。
(2)戦術的脅威インテリジェンス
戦術的脅威インテリジェンスとは、攻撃者がどのようなツールを使用しているのか、攻撃手法はどのようなものなのか、その攻撃に対してどのような回避戦略を取ると良いのかなどが詳細に記載されているものです。
ITサービス管理担当者などを対象に、即時性のある対応が取れるようにすることが目的です。そのため、戦術的脅威インテリジェンスの報告タイミングは日次ごとなどリアルタイムで提供されることが多くなります。
マルウェアハッシュ、IPアドレスなど直接的な情報が記載されているため、具体的なアクションが起こしやすくなるのも特徴です。戦術的脅威インテリジェンスを活用することで、日々のセキュリティ運用の安全性の担保につながります。
(3)運用上の脅威インテリジェンス
運用上の脅威インテリジェンスとは、攻撃者がどのような意図を持って攻撃しているのか、どのような性質を持っている攻撃なのかなどをまとめた情報で、リスク評価やインシデント対応に用いられる情報です。この運営上の脅威インテリジェンスを活用することにより、セキュリティの改善につなげることが可能です。
(4)技術的脅威インテリジェンス
技術的脅威インテリジェンスとは、サイバー脅威が発生していることの証拠や障害の兆候についてまとめたものです。フィッシング詐欺に用いられる電子メールに関する情報や既知のマルウェアサンプルなどが含まれています。
脅威インテリジェンスの収集方法
(1)オープンソースインテリジェンス (OSINT)
オープンソースインテリジェンス(OSINT)は、文字通り公に公開されている情報源から情報を入手することです。OSINTは 「Open Source Intelligence:オープンソースインテリジェンス」の略称で、新聞から論文、公的報告書、ネット上の情報、ソースコードが公開されているオープンソースまでが該当します。
つまり一般で手に入るアクセス可能な情報すべてとなっており、米国防総省では「特定の情報要件に対処する目的で、一般に入手可能な情報を収集し、利用し、適切な対象者に適時に普及させた情報」と定義されています。
(2)ヒューマンインテリジェンス (HUMINT)
ヒューマンインテリジェンス(HUMINT)は、人から直接的、あるいは間接的に収集されるデータのことです。相手の身体的特徴や、思想、経歴、雰囲気などが含まれます。主に諜報活動や監視から情報を得ることが多く、情報の内容は公然のものから機密性の高いものまでさまざまです。
(3)シグナルインテリジェンス (SIGINT)
シグナルインテリジェンス(SIGINT)とは、通信(COMINT)や電子信号(ELINT)など、信号や通信を傍受して得られる情報を指します。こうした情報は無線通信などを監視し、解析することで収集が進みます。
シグナルインテリジェンスは、さらに以下のように分類がされます。
- コミント(COMINT: Communication Intelligence):無線通信などを通じて送信されるテキストなどを傍受し、トラフィックの解読などによって得られるデータや情報のこと。
- エリント(ELINT: Electronic Intelligence):レーダー信号や電子システムから発せられる非通信用の電磁放射から得られるデータや情報のこと。
- アシント(ACINT: Acoustic Intelligence):海中や海面など水中音響情報のこと。潜水艦や艦船などの音響から得られるデータを活用する
これらは、軍事作戦に用いるのはもちろんのこと、海洋生物の研究や生態系の保護にも活用されています。
脅威インテリジェンスの分析プロセス
脅威インテリジェンスの運用プロセスは、以下の5つのサイクルを回しながら継続していきます。なおサイクルについては、長期間や短期間と一つに決め打ちをするのではなく、脅威インテリジェンスの種類に応じて行っていきます。
例えば戦略的脅威インテリジェンスであれば、年次ごとに報告を行えば良いので必然的に長期的な計画となります。なお、サイクルは回すことが目的ではなく、報告について十分に理解ができ、最適な意思決定につなげていくことが目的です。そのためには受け手側の協力も欠かせないため、効果的な活動ができる体制を整えておくことも大切です。
| 1 | 計画 | 脅威インテリジェンスをどのように扱うかを設定。(目的や利用範囲、結果の取り扱い等) 目的:どのような成果を得るために行うのか 利用範囲:現在のデジタル資産との紐付けおよび組織として守るべき資産の検討 結果の取り扱い:必要な情報が発見された際の対応方針。脅威インテリジェンスに関する「基本方針」「対策基準」「実施手順」「優先順位」等の整備 |
| 2 | 検出・情報収集 | 計画で定めた目的や利用範囲に沿って、必要な情報を収集。 1ヶ所からではなく、複数から情報を収集する ツールを活用する場合、検出分野が偏らないようにする ツールを活用する場合、自社の利用目的等に合致しているかを確認する |
| 3 | 加工・理解 | 収集した情報を加工し、活用できるようにしていく。 目的に合った必要なデータを収集し、自社で適切に運用ができるように加工していく。加工する際には対象の情報について十分な理解や活用方法に沿った情報交換などが必要。 これらはすべて専門家による対応が必要。 |
| 4 | 分析 | 目的に沿って情報を加工し、まとめていく。どの情報が重要であり、どの情報に注目すべきか、結果からどのようなリスクがあり、どう対処していくべきかをまとめていく。 脅威インテリジェンスの情報は組織や企業が意思決定を行うことのサポートとなるため、どう見れば良いかわからない、何が書かれているかわからないなどにならないように注意する。 |
| 5 | フィードバック | 分析結果を報告し、今後の改善へのフィードバックを行う。 前章で解説したインテリジェンスのタイプに合わせて報告のタイミングやアウトプットを行っていく。 計画段階で定めている報告フォーマットに合わせて、迅速に対応していくことが大切です。報告書として固めるのか、必要な情報のみを記載し、口頭で説明を行うかなどを計画に沿った形で進めていく。 なお、緊急時の報告が必要なケースもあるため、事前に決めておくと良い。 |
脅威インテリジェンスのサービス・ツール 3選
本章では脅威インテリジェンスの代表的なサービスについて3つ紹介します。導入検討の参考にしてみてください。
(1)FireEye
FireEyeは標的型サイバー攻撃対策でシェアNo.1を獲得している脅威インテリジェンスサービスです。ゼロディ攻撃に関する検知を得意としており、OSやアプリケーション、ブラウザの脆弱性などに関する攻撃を確実に検知します。さらに攻撃内容はリアルタイムで解析し、既知のマルウェアだけでなく未知のマルウェアも検出し、迅速に対応が可能になります。
| サービス名 | FireEye |
|---|---|
| 運営企業 | Trellix社 |
| URL | https://www.trellix.com/ |
(2)Infobox
Infoboxは、DNSやIPアドレス管理などに強みを持ち、さまざまなセキュリティサービスを提供しています。単なる情報の収集にとどまらず、ハンティング型のDNS脅威インテリジェンスによってセキュリティの強化に努めています。
サイバー脅威の検知や対処から、ネットワークの自動化によって複雑なマルチクラウドネットワークの管理も可能です。
| サービス名 | Infobox |
|---|---|
| 運営企業 | Infobox社 |
| URL | https://www.infoblox.com/jp/ |
(3)RSAセキュリティ
RSAセキュリティは、メタデータを変換し、オープンソースなどのインテリジェンスと結びつけることで、利用するユーザーにとって質の高いデータとするのが特徴です。システム上のログなどを調査・分析することで、サイバー攻撃の検出も可能です。他にも攻撃者の行動やマルウェア、どこに脆弱性があるかなどを自動的に特定してくれるため、管理者の業務負担の軽減にもつながります。
| サービス名 | RSAセキュリティ |
|---|---|
| 運営企業 | RSA社 |
| URL | https://www.rsa.com/ |
まとめ
一口に脅威インテリジェンスと言っても、さまざまな種類があり、適切に運用ができなければ、サイバー脅威に晒されてしまうことは間違いありません。サイバー脅威のリスクを少しでも軽減するためにも、運用プロセスを理解し、活用を進めていくことが大切です。
