サイバー脅威インテリジェンスとは？

サイバー脅威は進化し続けており、世界中で39秒に1回の割合でサイバー攻撃が発生しています。こうした背景から、多くの組織でサイバーセキュリティが最大の懸念事項の1つになっています。多数のインテリジェントな防御メカニズムを活用しているにもかかわらず、新たなサイバー脅威はさまざまな方法でビジネスを混乱させ続けています。

サイバー脅威インテリジェンス(CTI)は、データを分析し、サイバー脅威を予測して被害を軽減します。攻撃方法や潜在的な標的についてエビデンスに基づく知識を組織に提供し、プロアクティブなサイバーセキュリティ対策を実現します。CTIには戦略、戦術、運用に関するインテリジェンスがあり、脅威の状況の概要から攻撃の技術的な詳細に至るまで、さまざまな対象者レベルや重点事項に合わせてカスタマイズされます。CTIのライフサイクルには、要件の収集、データの収集と処理、分析、公開、フィードバックが含まれており、進化するサイバー脅威に対する防御が継続的に改善されます。

サイバー犯罪との戦いで、なぜサイバー脅威インテリジェンス(CTI)が重要なのか疑問に思ったことはありませんか？サイバー脅威インテリジェンスでは、組織の情報資産の安全を脅かす現在の攻撃と潜在的な攻撃に関する情報の収集、分析、公開を行います。このプロアクティブなアプローチにより、企業はサイバー攻撃者に先手を打つことができます。この記事では、以下について説明します。

• サイバー脅威インテリジェンスとは何か、そしてなぜ重要なのか？
• 組織がCTIを効果的に導入し、サイバーセキュリティの態勢を強化する方法
• CTIの主なソースは何か、その情報をどのように活用できるのか？

進化し続けるサイバー脅威への防御を強化したいと考える組織にとって、サイバー脅威インテリジェンスの役割と活用法を理解することは不可欠です。それでは、詳しく見ていきましょう。

サイバー脅威インテリジェンスの定義

サイバー脅威インテリジェンス(CTI)は、エビデンスに基づく知識であり、次のことに役立ちます。

• サイバー攻撃者の攻撃時の行動や動機を理解する
• 攻撃者の次の攻撃対象を予測する

脅威インテリジェンスは、現在の脅威データと潜在的な脅威データを処理し分析することによって収集されます。

CTIの強みは、組織の資産にとって深刻なリスクとなり得るサイバー脅威を深く理解し、それらに対抗するための防御メカニズムを提案できることです。基本的には、インシデントが特定された後にセキュリティ対策がトリガーされる事後対応型のサイバーセキュリティではなく、サイバー攻撃に対抗するためのプロアクティブなサイバーセキュリティ対策を推奨します。

サイバー脅威インテリジェンスの機能的な重要性

脅威インテリジェンスは、脆弱性管理、リスク管理、インシデント対応とインシデント管理、セキュリティ運用全体(SecOps)など、あらゆる種類のプラクティスやユースケースに関する情報を提供します。組織にとってCTIが非常に重要である理由は次のとおりです。

• 攻撃者がサイバー攻撃に使用する戦術、技法、手順(TTP)に関する実際の情報を組織に提供します。
• 攻撃者の隠れた動機を明らかにし、予防措置を講じられるようにします。最終的には、このインテリジェンスによって、データ侵害による金銭的損失やブランドイメージの低下を回避できます。
• 組織内に長期潜伏し、組織のセキュリティの脆弱性を悪用するAdvanced Persistent Threat(APT)を検出します。APTに関するインテリジェンスによって、組織の知的財産や機密情報を保護できます。
• 攻撃者の行動や意思決定プロセスを、CISO、セキュリティ運用担当者、開発者などのサイバーセキュリティの担当者がより深く理解できるよう支援します。
• サイバーセキュリティリスクを軽減するための適切なツールやプロセスに関係者が投資できるよう支援します。これにより、不要なコストを削減できます。
• サイバーセキュリティに関して、より多くの情報に基づいて迅速かつデータ主導の意思決定を行えるように組織を支援します。

CTIからメリットを得られる担当者

多くの担当者やグループがCTIのメリットを直接得ることができます。これには、セキュリティアナリスト、ITアナリスト、セキュリティオペレーションセンター(SOC)のメンバー、CISO、経営陣など、組織のあらゆるレベルのセキュリティ責任者が含まれます。潜在的な脅威を事前に把握することで、次のことを実現できます。

• セキュリティアナリストとITアナリストは、新たな脅威に対応できるように、サイバー攻撃に対する防御メカニズムを改善できます。
• SOCの担当者は、新たな攻撃者や攻撃パターンによるリスクと影響を評価して、インシデント管理を強化できます。
• CISOやその他の経営陣は、組織のサイバーセキュリティについて十分な情報に基づく意思決定を行えます。

全体として、CTIはあらゆる組織が潜在的なセキュリティ脅威を理解し、インシデント対応をより迅速に行い、データ侵害に伴うコストを削減するのに役立ちます。そして最終的には、組織の従業員一人ひとりが、優れたCTIプログラムからメリットを得られます。

サイバー脅威インテリジェンスの種類

CTIプログラムは、対象ユーザーや重点を置く情報に基づいて、さまざまな種類のインテリジェンスを提供できます。CTIには以下の3つの種類があります。

• 戦略的インテリジェンス
• 戦術的インテリジェンス
• 運用上のインテリジェンス

それぞれについて簡単に説明しましょう。

戦略的インテリジェンス

技術的な要素が少なく、概要レベルの脅威インテリジェンスで、組織の脅威の状況を包括的に提供します。戦略的脅威インテリジェンスを主に利用するのは、次のような非技術部門のメンバーです。

• 企業の取締役
• 経営幹部レベルのセキュリティ責任者

戦略的インテリジェンスは、組織の上層部が組織に関連するリスクや脆弱性、攻撃者の目標を理解し、予防策を講じるのに役立ちます。経営陣は、このインテリジェンスに基づいて、組織のハイレベルの戦略を策定することができます。

戦術的インテリジェンス

戦術的インテリジェンスを利用するのは技術に精通した担当者であり、近い将来に焦点を当てて技術的な対応を行います。このインテリジェンスは、次のようなシンプルな侵害の痕跡(IoC)を特定します。

• 悪質なドメイン名
• URL
• IPアドレス
• 異常なトラフィック

ITチームは特定の脅威を識別して組織のリスクを軽減できます。戦術的インテリジェンスはシンプルで自動化されており、データフィードやAPIなどの技術を通じて利用できます。IoCはすぐに変更されたり古くなったりするため、戦術的インテリジェンスは他の2つのインテリジェンスよりも寿命が短くなります。

運用上のインテリジェンス

運用上のインテリジェンスは、SOC(セキュリティオペレーションセンター)で日々の業務を担当するサイバーセキュリティ担当者を対象としています。サイバー攻撃に使用されるTTPなど、攻撃者の特性を理解することで、攻撃者がサイバー攻撃や活動をどのように計画、実行、維持するかをより詳細に把握できます。

運用上のインテリジェンスは、脅威の監視、脅威の管理、インシデント対応などのタスクの改善に役立ちます。TTPは簡単には変わらないため、運用上のインテリジェンスは戦術的インテリジェンスよりも長く使用できます。

一方で、運用上のインテリジェンスの蓄積には課題があります。たとえば、攻撃者がやり取りに使用するWhatsAppやTelegraphなどの暗号化されたメッセージングアプリケーションは、アクセスが難しく、一部の脅威グループが使用する言語は解読が難しい場合があります。

CTIライフサイクルの段階

脅威インテリジェンスはエンドツーエンドのプロセスではなく、要件の収集からフィードバックの取得までを繰り返すプロセスです。インテリジェンスのライフサイクルは、生の脅威データを実用的なインサイトに変換し、サイバーセキュリティチームが効果的な脅威インテリジェンスプログラムを導入できるようにします。このライフサイクルは次の6つの段階で構成されています。

• 要件の収集
• データの収集
• データの処理
• 分析
• 公開
• フィードバック

1. 要件の収集

最初の段階は、脅威インテリジェンスに関するすべての関係者の要件を収集することです。この段階は、CTIの目標と採用すべき方法を設定する計画段階と見なすことができ、一般的なタスクには次の内容が含まれます。

• サイバー攻撃の攻撃対象と影響の定義
• CTIプログラムがカバーすべき組織の部門の特定
• 攻撃者とその動機、および必要な対応策の検出

2. 生データの収集

すべての要件を把握したら、収集段階では、最初の段階で設定した目標と目的を達成するために必要なデータを収集します。この段階を完了するには、定義した目標と目的に基づいて脅威データソースを特定する必要があります。通常、次のデータソースが含まれます。

• ニュースサイト、フォーラム、ブログなどの一般公開されているデータソース
• ネットワークトラフィックのログ
• ソーシャルメディアサイト
• サイバーセキュリティ専門企業が提供する脅威データフィード
• 特定分野の専門家からのデータや関係者へのインタビュー
• 受動的なDNS監視、DNSシンクホール、ハニーポットなどのサイバーカウンターインテリジェンス(CCI)ソース
• マルウェアの分析による発生源と影響の把握

3. データの処理

収集された生データは、脅威分析段階での使用には適していません。そのため、この段階では、生データを簡単に分析できる形式に変換します。データのタイプに応じて、データの正規化、ソート、サンプリング、検証、集約などの処理タスクが実行されます。

データ変換の方法は、データソースによって異なります。たとえば、ネットワークトラフィックのログは、正規表現(regex)を使用して特定の用語や情報を抽出する必要があり、海外のブログサイトは最初に母国語に翻訳する必要があります。また、インタビューからデータを収集した場合は、適切な検証を行う必要があります。

(脅威ハンティングにRegExとSplunkを使用する方法を参照してください。)

4. データの分析

この段階では、定義した目標と目的を達成するために、フォーマットされたデータを検索、解釈、分析し、要件収集段階で特定した質問に対する答えを探します。

この分析により、脅威のパターンと組織のセキュリティにおける潜在的な影響が明らかになります。データ分析技法には、統計データ分析や仮説に基づく分析などが含まれます。

データ分析は、組織が脅威インテリジェンスを獲得し、次のような実用的な推奨事項を得るのに役立ちます。

• 組織が投資を増やすべき分野
• 差し迫った脅威への対応方法
• 特定の脅威を調査する必要があるかどうか

5. 分析結果の公開または共有

組織の要件に沿って分析を完了したら、内容を簡単に解釈できる形式にしたうえで、これらのレポートを関係者に配布します。

繰り返しになりますが、分析に関する要件は関係者によって異なります。情報を共有する前に、レポート形式と分析に含めるべき情報について、関係者の希望を確認しましょう。ベストプラクティスは以下のとおりです。

• 結果と推奨事項を簡潔に提示する
• わかりづらい専門用語を使わない(関係者の賛同を得る必要があることを忘れずに)
• 関係者が一目見て結果を簡単に理解できるよう、データを図やグラフで表示する

6. フィードバックの提供

脅威インテリジェンスのライフサイクルの最後の段階は、関係者に提示した脅威インテリジェンスレポートについてフィードバックを得ることです。レポートに変更が必要かどうか、分析が組織の目標や目的に合致しているか、脅威インテリジェンスレポートを入手したい頻度などについて、関係者から意見を得ます。

レポートに変更があれば、脅威アナリストが特に注目すべき点がわかります。そのため、脅威インテリジェンスを改善して成功させるには、フィードバックが不可欠です。

注意：CTIはここで終わりではありません。CTIは1回の実行で終了する直線的なプロセスではなく、反復的かつ継続的なプロセスであり、個々のサイクルが組織の脅威インテリジェンスプログラムの改善につながります。

まとめ

セキュリティ態勢がどれほど高度になっても、脅威も進化するため、サイバー攻撃に対して脆弱になる可能性は常にあります。今日、多くの組織がCTIプログラムに投資しているのは、サイバー脅威に対する防御メカニズムを強化することで多くのメリットが得られるためです。

サイバー脅威インテリジェンスは、脅威データを分析し、潜在的なサイバー攻撃のパターンを明らかにし、攻撃者の行動を予測します。重視する情報と対象ユーザーに基づいて、CTIには3つの主要な種類があります。それは、戦略的インテリジェンス、戦術的インテリジェンス、運用上のインテリジェンスです。CTIは反復的なプロセスです。だからこそ、組織は新たなサイバー脅威に対する防御メカニズムを改善していくことができます。

このブログはこちらの英語ブログの翻訳です。