公開日:2022年1月1日
サイバー脅威インテリジェンスとは、情報セキュリティ(サイバーセキュリティ)データを収集、分析、処理することで得られる情報とインサイトを蓄積したもので、攻撃者の行動(潜伏時と活動時の両方)、攻撃の対象や動機を分析し、リアクティブからプロアクティブなサイバーセキュリティ態勢へと転じるのに役立ちます。脅威インテリジェンスを活用すれば、サイバー攻撃に対処する際に、セキュリティ上の意思決定をデータに基づいてリアルタイムですばやく行えます。また、この緻密な情報を利用することで、攻撃者が自社環境に侵入する前に先手を打って対処し、今後新たに起こり得る攻撃に特化した防壁を自社に合わせて構築できるようになります。
攻撃者が攻撃の前に組織を探索する「偵察」は、サイバーキルチェーンの第1段階であり、セキュリティ担当者にとって新しい概念ではありません。サイバー脅威インテリジェンスを使えば、逆にセキュリティ担当者も同じようなことを行えます。つまり、サイバーセキュリティ脅威に対する効果的な防御策を立てるために、データを収集して価値ある情報へと変えるのです。
この記事では、さまざまな種類の脅威インテリジェンスを深く掘り下げ、いくつかのユースケースやサイバー脅威インテリジェンスの未来について考察します。
脅威インテリジェンスには、戦略、戦術、運用、技術の4種類があります。技術的脅威インテリジェンスと運用上の脅威インテリジェンスは同じものとして扱われることが多いですが、この2つの間には違いがある点に注意してください。
戦略的脅威インテリジェンス:戦略的脅威インテリジェンスは、組織を取り巻く脅威の状況に影響を与える広範かつ包括的な要因を集約した情報であり、組織のサイバーセキュリティ戦略を改善するために活用されます。戦略的脅威インテリジェンスの目的は、組織が直面する脆弱性とリスク、およびどの攻撃が最大のリスクをもたらす可能性があるかを評価することです。地政学的な要因やサイバー攻撃の傾向も考慮しながら、組織の脅威状況に影響を与える可能性のあるパターン、ターゲット、イベントの概要を把握するのに役立ちます。
戦略的脅威インテリジェンスでは多くの場合、複数の言語で記述された大量のデータを処理して有用な情報に変換する必要があります。そのためには、サイバーセキュリティ、政治情勢や各国の外交の機微、組織のビジネス価値に関する知識が求められます。脅威インテリジェンスの収集と処理のプロセスにはかなりの時間と手間がかかりますが、脅威インテリジェンスソリューションを導入すれば、効率的にデータの収集と処理を自動化して、インテリジェンスレポートを作成できます。そのため、セキュリティ担当者やアナリストはその戦略的脅威インテリジェンスを利用することに一層集中できるようになります。
戦術的脅威インテリジェンス:戦術的脅威インテリジェンスには、サイバー攻撃の戦術、技法、手順(TTP)を明らかにするための情報が含まれます。この情報を活用して、潜在的な攻撃ベクトルに関するインサイトを導出し、サイバー攻撃に対抗するための防御を進化させることができます。
戦術的脅威インテリジェンスでは、攻撃者に利用される可能性のある脆弱性や一般的なインフラも考慮します。戦術的脅威インテリジェンスの目的は、攻撃の手口を探り、適切なセキュリティコントロールとセキュリティソリューションで備えることです。特に、攻撃者がどのような方法で検知を回避したり遅らせたりするかを突き止めたい場合に有効です。その後、既存のセキュリティ戦略の改善、さらにはインシデント管理/対応の効率化にその情報を活用できます。
戦術的脅威インテリジェンスは一般的に、組織のサイバーセキュリティ戦略の意思決定と実施に直接関与するCISO、システム管理者、システムアーキテクト、セキュリティチームに加え、セキュリティインテリジェンスレポート、特定分野の専門家、さまざまなデータフィードによって利用されます。ただし、各種業界の組織が戦術的脅威インテリジェンスに基づいて各ビジネスに最適なさまざまなアクションを起こすため、このインテリジェンスには組織独自のネットワークデータも不可欠です。
運用上の脅威インテリジェンス:運用上の脅威インテリジェンスとは、特定のサイバー攻撃、攻撃者、キャンペーン、またはイベントに関する情報を収集して攻撃プロファイルを作成するプロセスであり、具体的には「いつ、どこで、誰が、何を、なぜ」という5つの問いに答えることに焦点を当てています。攻撃プロファイルは、今後の攻撃を予測するために、攻撃者の活動や動機、過去の攻撃計画などをあらゆる角度から調査して作成されます。
運用上の脅威インテリジェンスは、日常業務を担当するサイバーセキュリティ担当者にとって非常に有用です。調査対象や、疑わしいイベントを検出したときに取るべきアクションを深く理解し、脅威の監視やインシデント対応に役立てることができるからです。
技術的脅威インテリジェンス:技術的脅威インテリジェンスは、攻撃の具体的な証拠を収集し、その情報を使用して脅威に対する防御を構築するプロセスです。フィッシングメールの内容、マルウェアのサンプル、不正なURL、報告されたIPアドレスなど、既知の侵害の痕跡(IoC)を探します。
技術的脅威インテリジェンスと運用上の脅威インテリジェンスを相関付ければ、特定の攻撃プロファイルで特定のグループプロファイルを強化できるうえ、システムを頻繁に使用するセキュリティチームの助けとなります。技術的脅威インテリジェンスは、不正なURLやマルウェアハッシュなどの単一の指標タイプに対応する専用の脅威データフィードを通じて共有されます。
技術的脅威インテリジェンスの最大の問題は、有効期限が非常に短いということです。多くの場合、不正なURLや悪意のあるIPアドレスは数日で消失します。そのため、技術的脅威インテリジェンスを有効活用するには、迅速かつ効率的に共有する必要があります。
技術的脅威インテリジェンスでは、フィッシングメール、不正URL、マルウェアのサンプルなど、具体的な侵害の痕跡を収集します。
脅威インテリジェンスが重要視されるのは、サイバーセキュリティ態勢をリアクティブからプロアクティブなものへ転換できるためです。とはいえ、脅威インテリジェンスはどのような組織でも有効に活用でき、中でもセキュリティチームにとって以下の点で有用です。
- 攻撃をより深く理解する。
- インデントが発生する前に先手を打つ。
- 攻撃者がネットワークに侵入した場合に迅速に対応する。
優れた脅威インテリジェンスソリューションでは、データの収集/処理が自動化されており、より多くの情報を処理して実用的なインテリジェンスをタイムリーに引き出すことができます。また、攻撃のIoCとTTPを適切なデータに適用し、その情報を組織のデータと統合することで包括的な脅威プロファイルを作成できます。
規模を問わず、あらゆる組織がサイバー脅威に対処しなければなりませんが、直面する脅威や使用するセキュリティ手法はさまざまです。そのため、脅威インテリジェンスは各組織の個別のニーズに合わせて柔軟に活用する必要があります。
脆弱性管理:従来の脅威環境における脆弱性管理は、できるかぎり頻繁にすべてにパッチを適用するという努力目標に基づいて構築されていました。脅威インテリジェンスを活用すると、組織に大きなリスクをもたらす脆弱性を見極め、それに応じて行動できます。
新たに発見された脆弱性をサイバー攻撃者が悪用するまでの期間は、2010年には約45日でしたが、2020年にはわずか15日にまで大幅に短縮されています。つまり、攻撃の対象となった場合の被害を軽減するには、およそ2週間で脆弱性にパッチを適用したり、インシデント対応計画を策定したりしなければなりません。
SecOps:サイバー脅威インテリジェンスを取り入れると、セキュリティ運用(SecOps)をいくつかの方法で強化できます。多くのセキュリティオペレーションセンター(SOC)は、ファイアウォールやその他の脅威インテリジェンスフィードから大量のアラートを受け取り、トリアージや管理に追われています。このような過剰なアラートのせいで、本物のアラートが見落とされることも少なくありません。
脅威インテリジェンスを導入すると、誤検知をフィルタリングして、アラートと脅威のトリアージを迅速に行えます。また、アナリストが、あるアクションパターンが悪質なものか無害なものかを判断し、組織を標的とする可能性が低い攻撃に対してアラートを生成しないようにする際の助けにもなります。さらに、脅威インテリジェンスを使用して脅威データを統合し、ランサムウェアやAPT (Advanced Persistent Threat)などの既知の攻撃タイプにフラグを立てることも可能です。
CSIRT/インシデント対応:脅威インテリジェンスを活用することで、進行中のインシデントにリアルタイムのコンテキストを追加できることから、効果的にインシデント対応を行えます。また、内部と外部の両方のデータソースを使用して明確な分析を行えば、コンピューターセキュリティインシデント対応チーム(CSIRT)が根本原因を特定する支えとなります。
セキュリティアラートと同様に、脅威インテリジェンスもまた、レポートの重複や誤検知の排除に効果的です。分析に必要なデータを手動で取得する手間を省き、スピーディにインシデント対応を進めることができます。さらに、脅威インテリジェンスのメリットをインシデント対応と脆弱性管理の両方に活用することで、セキュリティ態勢も強化できます。
リスク管理:サイバー脅威インテリジェンスには、攻撃の可能性とそれに関連する攻撃者を判断するために必要なデータが含まれます。また、脅威に伴うリスクと影響についてビジネス上の意思決定に必要な情報を脅威インテリジェンスから得ることも可能です。
データから適切な答えを導き出し、詳細な情報をセキュリティ戦略に組み込むことで、さまざまな種類の攻撃やサイバーイベントに対する包括的なリスクプロファイルを構築できます。リスクプロファイルを把握したうえで脅威インテリジェンスを利用し、情報に基づいてリスク管理に関する意思決定をすれば、包括的なサイバーセキュリティポリシーを策定できます。
不正行為の防止:脅威インテリジェンスと不正行為の防止は密接に関係しています。サイバー攻撃者が自社のブランドやデータを利用して他の組織に詐欺行為をはたらき、それによってブランドや組織の評判が損なわれることがあります。
サイバーアナリストは、脅威インテリジェンスを利用して犯罪コミュニティの全体像を把握し、そのアクティビティを決済詐欺の手口、侵害されたデータ、Webサイトのなりすまし(タイポスクワッティングやフィッシングなど)に関連付けることができます。このような包括的な視点を得ることで、脆弱性を特定し、推奨される変更や機能拡張についてビジネス関係者に周知することができます。
リーダーによる状況把握:セキュリティリーダーは、増加する脅威から組織を守りながら、リソースの使用を抑制しなければならないという課題に直面しています。脅威インテリジェンスは、深刻な脅威となる攻撃の種類や、非常に注意が必要な攻撃を絞り込むのに役立ちます。攻撃を防ぐことで、セキュリティ侵害の結果としてしばしば発生する訴訟、罰金、ブランドイメージの失墜といった、潜在的なリスクを軽減できます。脅威インテリジェンスを使用すると、脆弱性とリスクを管理するうえで、業界、テクノロジー、地理のすべてがどのように影響しているかも明確に把握できるようになります。
セキュリティ運用でサイバー脅威インテリジェンスを幅広く活用すれば、アラートのトリアージ、重要な脅威への迅速な対応、誤検知のフィルタリングを効果的に行えます。
脅威インテリジェンスのライフサイクルでは、組織をサイバー脅威から保護するために、生データの収集、処理、分析、実用的なインテリジェンスへの変換を6つのフェーズで繰り返し行います。
1. 計画と前提条件:脅威インテリジェンスのライフサイクルの最初のステップは、その取り組みに関する目的を設定するフェーズであり、計画を立てたり前提条件を洗い出したりします。このフェーズでは、達成したい目標を定め、具体的な課題に焦点を絞って反復プロセスを決定し、インテリジェンスの利用目的が時局に合った優先度の高いものであることを確認する必要があります。また、このフェーズでは、情報の用途や利用者を念頭に置いておく必要があります。範囲が広すぎたり、反復プロセスが長かったりすると、情報が古くなって、使用できなくなる可能性があるからです。
2. 収集:収集フェーズでは、トラフィックログ、過去のインシデント対応、セキュリティフォーラム、デジタル出版物、さらにはダークウェブまで、さまざまなソースから生データを取得します。セキュリティ担当者は、生のコードデータ、IoCのリスト、これまでに発見された脆弱性データなど、あらゆる手段で関連情報を追い求める必要があります。
3. 処理:インテリジェンスに関する目標を定め、すべてのデータを収集したら、メタデータタグを使ってデータの分類と整理を行います。復号や言語の翻訳など、データを理解するために必要な変更も、この時点で行う必要があります。また、冗長なデータや偏ったデータもこのフェーズでフィルタリングし、分析に悪影響を及ぼさないようにします。
どれほど小規模な組織でも、データポイントの数は数百万に上るため、人手による分析はまったく役に立ちません。そのため、データの収集と処理を自動化し、正規化する必要があります。自動化すると一貫した方法でデータの分類やタグ付けを行うことができます。また、正規化によりインテリジェンスを同じ方法で標準化して、データの重複を減らし、インテリジェンスを利用するツールやチームに一貫性をもたらします。
4. 分析:このフェーズでは、セキュリティ担当者が処理された情報を利用して、計画フェーズで示された課題への対処策を見つけ、データセットを読み解いて、利用者にとって価値のあるインテリジェンスと推奨事項を作成します。サイバーセキュリティ分析や技術的脅威インテリジェンス分析で新たなIoCが明らかになり、侵入検知の変更が推奨されることもあるでしょう。また、戦略的脅威インテリジェンス分析の結果、組織が携わる特定の業界で攻撃が増加していることが明らかになれば、経営幹部にセキュリティ投資を優先するための推奨事項を提示できるかもしれません。インテリジェンスの形式は、その利用者にとってわかりやすさや有用性ほど重要ではないため、データができるだけ使いやすくなる形式を検討しましょう。
5. 公開:このフェーズで、適切に分析して整形されたインテリジェンスを各利用者に提示します。このステップで何よりも考慮すべきことは、タイミングです。脅威インテリジェンスは実用的でなければ役に立ちません。実用的であるためには、脅威インテリジェンスを適切なタイミングで適切な人々に届ける方法を見つける必要があります。
6.フィードバック:インテリジェンスを公開したら、必要に応じてライフサイクルを改善し、プロセスを向上させるために、利用者からフィードバックを得る必要があります。一貫性を確保するために、このフェーズも記録しておきましょう。
6つのフェーズで構成される脅威インテリジェンスのライフサイクルは、生データを収集、処理、分析し、実用的なインテリジェンスに変換するためのロードマップです。
サイバー脅威インテリジェンスアナリストは、サイバー脅威のデータを収集、監視、分析し、脅威ハンティングのアクティビティに使用する実用的なインテリジェンスを生成することに特化したセキュリティの専門家です。セキュリティインシデントやイベントをトリアージし、さまざまな脅威インテリジェンスソースを管理します。また、攻撃の手法、動機、対象者を含め、さまざまな攻撃を調査し重要な情報を提供することで、意思決定者がセキュリティ上の意思決定を効率良く的確に行い、脅威を修復できるようにします。
データ収集や生データの処理を自動化し、各分析を効率化するには、機械学習が欠かせません。膨大なデータ量は手に負えず、人間のアナリストがタイムリーに効果的な脅威インテリジェンスを作成することはほぼ不可能です。
ほとんどの組織が無理なく調査できる脅威の兆候は1週間あたり1~100件と考えられます。しかしこのペースでは、急速に変化する脅威の状況に対応できず、テラバイト単位の潜在的な脅威データを処理することもできません。
そのため、今日の生の脅威データを分析するには、機械学習を基盤した高度な分析を取り入れ、セキュリティチームが効率的かつ正確に大量の脅威データを評価して解釈し、実用的なサイバー脅威インテリジェンスに変換できるようサポートする必要があります。
サイバー脅威インテリジェンスは、急速に成長している分野です。サイバー攻撃はステルス性が高くなり、大きな損害をもたらし、種類も増えています。そのため、セキュリティ担当者は戦術や技法を進化させて、組織の安全を維持していかなければなりません。膨大な量のデータが急激に増加し続けていることを踏まえると、企業はセキュリティの自動化をベースとしたさまざまな脅威インテリジェンスツールでこういった情報を選別し、管理する方法を見つける必要があります。
インテリジェンス管理を行うと、増え続ける社内外の脅威ソースを取りまとめ、SIEM (セキュリティ情報/イベント管理)、ケース管理、SOAR (セキュリティのオーケストレーションと自動化によるレスポンス)などのさまざまな脅威インテリジェンスツールに優先順位を付け、平均検出時間(MTTD)と平均修復/対応時間(MTTR)を短縮できます。
急速に進化するサイバー脅威にうまく対処するためには、サイバーセキュリティについての考え方や、保護対策を講じる方法を変えなければなりません。テクノロジーだけで身を守ることができるという考えから脱却し、サイバー脅威に関する情報を応用していくことが求められます。つまり、自社環境への攻撃だけでなく、世界中で起こっている攻撃からも学ぶ必要があるのです。
効果的なサイバーセキュリティを構築するためには、すでに存在している脅威を認識し、その効果を維持するためには、今後起こり得る新たな脅威を把握する必要があります。組織が生き残るためには、敵を知り、理解することが不可欠です。サイバー脅威インテリジェンスは、攻撃手口を学ぶことで、ますます巧妙になる攻撃手法に対抗し、データとビジネスの安全を確保するための鍵となるでしょう。
ガートナー社のSIEM部門のマジッククアドラント
ガートナー社の最新のマジッククアドラントでSIEM市場の動向を掴みましょう。