コラム
脅威インテリジェンスとは?
サイバー攻撃を先読みする
戦略的アプローチ
最終更新日:
サイバー攻撃や不正アクセスなどによる脅威の攻撃手法やリスクは日々進化しており、十分な対策が難しくなっています。脅威インテリジェンスを活用すれば、脅威を事前に予測し適切な対策を講じることが可能となりますが、実際にどのように導入し運用していけば良いのでしょうか。本記事では、脅威インテリジェンスの基礎から実際の活用事例まで解説します。
脅威インテリジェンスの基本を理解しよう
脅威インテリジェンス(CTI:Cyber Threat Intelligence)とは、サイバー攻撃の兆候や攻撃者の手法などに関する情報を収集・分析し、セキュリティ対策の意思決定に役立てる情報のことです。
まずは脅威インテリジェンスの基本と仕組みについて解説します。
脅威インテリジェンスとは何か
脅威インテリジェンスでは、脅威アクター(攻撃者)の意図や能力、攻撃手法(TTP:Tactics, Techniques, and Procedures)、およびインジケーター(IOC:Indicators of Compromise)などを分析します。これらの情報をもとに、将来起こりうる攻撃の兆候を早期に検知し、セキュリティ対策の強化に役立てます。
2022年に改訂された「ISO/IEC 27001:2022」では、脅威インテリジェンスが新たに管理策として明記されました。これにより、企業は脅威情報の収集・分析・共有をセキュリティマネジメントの一環として体系的に行うことが求められています。
また、独立行政法人情報処理推進機構(IPA)は「脅威インテリジェンスガイドライン」を公開し、経営層や情報システム室などを持たない中小企業でも導入しやすいよう、その目的や必要性を明確に伝えるサポートをしています。
このガイドラインを活用することで、セキュリティ強化を提案する際の説得力が増し、さらなるセキュリティ強化の実施が期待されています。
データ・インフォメーション・インテリジェンスの役割
「データ」「インフォメーション」「インテリジェンス」は、情報に関する役割を3つに分けたものです。これらを脅威インテリジェンスに当てはめると、以下のようになります。
| 名前 | 説明・機能 |
|---|---|
| データ | 「一次情報による数字や記号・整理される前の状態」 あらゆるサイバー空間の情報を収集 |
| インフォメーション | 「データを整理・加工し意味を付与したもの」 データを分析し、攻撃傾向やリスクを特定 |
| インテリジェンス | 「インフォメーションを分析した結果・意思決定のための情報」 分析結果をもとに、組織関連の脅威や傾向を提供 |
脅威インテリジェンスは、これらの情報を分けて利用することで脅威の予測が可能になり、効率的な対策を立てることが可能になりました。
脅威インテリジェンスのライフサイクルとは
脅威インテリジェンスには5つのフェーズ構造に分けられ、以下のようにサイクルを繰り返すことでセキュリティ体制の強化、脅威への対応を早急に行うことが可能です。
| 順番 | タイトル | 内容 |
|---|---|---|
| 1 | 要件定義 | ・対象とするリスクや資産、攻撃者像などを明確化 ・収集すべき脅威情報を定義 |
| 2 | 発見・収集 |
・設定した目的に基づいて、脅威に関する様々な情報を収集 ・情報源は1つだけでなく、複数から情報を収集する |
| 3 | 整理・加工 |
・収集した情報を分析できるよう整理や加工を行う ・専門家が入り情報交換を行うこともある |
| 4 | 分析 |
・情報を分析し、脅威のパターンや傾向を整理し理解する ・分析結果からリスクや対処法を見つけ出す |
| 5 | 評価・共有 |
・分析結果を共有、提供して組織全体のセキュリティ体制を強化 ・フィードバックを行い、プロセスの改善につなげる |
| 6 | フィードバック |
・活用状況の評価、分析精度や収集方針の見直しに反映 ・PDCAの継続が重要 |
脅威インテリジェンスの分類と種類
脅威インテリジェンスの種類は、大きく分けて3つのタイプに分類されます。利用の目的に応じて適切に選択することで、インテリジェンスを提供する側とそれを利用する側との間に生じるすれ違いを防ぐことができるでしょう。
戦略的(ストラテジック)インテリジェンス
経営判断向けに将来のリスクや脅威を長期視点で分析することを目的とし、組織全体のセキュリティ改善や強化における適切な意思決定の支援に活用できます。一般的に報告タイミングは年次レポートでまとめられます。
運用的/戦術的インテリジェンス
攻撃者が使用しているツールや攻撃の傾向などの直接的な情報と、その攻撃に対しどのような対策をすることが適切であるか詳細に分析されます。報告タイミングはリアルタイムで行われるのが基本なので、迅速な対応により日常的にセキュリティ運用の安全性を高めることが可能となります。
技術的インテリジェンス
フィッシング攻撃で使われるメールの特徴や、既に確認されているマルウェアの分析結果が収集されています。攻撃を検知・阻止するためのセキュリティ製品や、システムの強化に活用できます。
導入の必要性とメリット
サイバー脅威の高度化に対応するためには、脅威インテリジェンスを活用して、プロアクティブな防御、インシデント対応力の強化、早期検知が必要です。また、経営層への意思決定支援を強化することが不可欠になります。ここでは、脅威インテリジェンス導入の必要性とそのメリットについて紹介します。
プロアクティブな防御
脅威インテリジェンスを活用することで、攻撃者が使用するTTPやC2サーバのIPなどの事前情報を把握でき、EDRやSIEMなどのセキュリティ製品にルールやシグネチャとして組み込むことで、未知の攻撃兆候にも対応できる体制が構築可能です。
インシデント対応力の強化と早期検知
脅威による攻撃を完全に防ぐことは難しいため、攻撃が発生した場合には迅速に対応する体制を整備する必要があります。脅威インテリジェンスは、リアルタイムで異常を監視・分析することで、早期に攻撃を検出し、被害を最小限に抑えることができます。
経営層への意思決定支援
脅威インテリジェンスを導入することで、将来のリスクや脅威を長期的な視点で分析し、組織が適切な意思決定を行えるようにサポートします。
脅威インテリジェンスの情報源とツール
脅威インテリジェンスは、複数の情報源から収集されます。また脅威インテリジェンスサービスやツールを活用すれば、専門的な知識が無くても効率的な対策ができるかもしれません。
OSINT/HUMINT/SIGINTなど情報収集ソース
脅威インテリジェンスの情報は、公開情報から人的情報・通信傍受まで多方面からソースを収集しています。主に使用される情報収集方法は3つあり、それぞれについて以下の表で説明します。
| 種類 | 収集方法 | 例 |
|---|---|---|
| OSINT | 公開情報 | 脆弱性DB(NVD, JVN)、ブログ、SNS、脅威レポートなど |
| HUMINT | 人的情報 | 組織内部からの通報、フォーラム・ダークウェブモニタリング、脅威情報提供者とのネットワークなど |
| SIGINT | 通信傍受 | 自社ネットワーク上のトラフィック監視(ネットワークフローデータなど) |
自前 vs 外部サービスの使い分け
脅威インテリジェンスにおける自前(内製)と外部サービス(委託)の使い分けは、コストや専門性、成熟度に応じて判断することが重要です。
自社で利用する場合、情報収集や分析には専門的な知識やスキルが必要のため、人材や体制を整えるのにはコストがかかります。自社に十分なセキュリティ人材がいない場合や分析体制が未整備な場合は、脅威インテリジェンスサービスの外部委託が有効です。初期段階ではサブスクリプション型の脅威インテリジェンスフィードから導入するなど、段階的に進める選択肢もあります。
CTIツールやサービスの選び方・比較ポイント
脅威インテリジェンスに関するツールやサービスは、セキュリティを強化するために、脅威情報の収集・分析から迅速な対応支援までを提供します。主な機能には、クリアウェブ、ディープウェブ、ダークウェブからの広範な情報収集、高度なAIやデータ分析を用いたリスク精査、攻撃手法のカテゴライズと可視化、セキュリティ製品との連携、専門家によるサポートが含まれます。もしサービスを選ぶ際は、以下のポイントに注目すると良いでしょう。
AI分析
脅威を効率良く守るためには、膨大な脅威情報から自社に影響の大きい脅威を選別する精度が重要です。例えば「Google Threat Intelligence」では、専門チーム「Mandiant」による分析で優先度の高い脅威をスコアで表示します。また「Argos Edge」は機械学習と自然言語処理アルゴリズムを利用して、組織に関連する脅威のリスクを特定します。
連携機能
脅威の検知だけでなくセキュリティツールへの連携など、検出後の対策も重要です。「Rapid7 Threat Command」では、検出された脅威に対して推奨される対策を表示し、偽サイトやSNSアカウントを削除できます。「OpenText Threat Intelligence」では、悪質なサイトをブロックやマルウェアの解析といった機能があります。「CrowdStrike Falcon Adversary Intelligence」は他のセキュリティツールと連携し、IOCを共有して迅速な対応が可能です。
専門家支援
専門家やアナリストによる支援も比較のポイントです。「Google Threat Intelligence」では、専門アドバイザーが脅威の優先順位をつけ、Mandiantチームによるコーチングで社内スキルを向上させることができます。
自社への適用方法と統合セキュリティアプローチ
脅威インテリジェンスを効果的に活用するには、ライフサイクルに必要な成熟度を確立させ、専任のセキュリティチームが必要です。未達の組織は、まず全体の成熟度を向上させることから始めるべきでしょう。
成熟度モデルと専任チームの必要性
脅威インテリジェンス導入には、成熟度モデルの確立と専任チームの配置が不可欠です。これらは、組織が脅威に適切に対処するための前提条件となります。
成熟度は以下のように段階が構成されており、一般的に脅威インテリジェンスを効果的に活用するためには、少なくとも2番目のPassive Defenseの成熟度が求められます。
| 成熟度 | 内容 |
|---|---|
| 1:Architecture | ・セキュリティを意識したシステム計画・維持・実行体制が整備されている ・セキュリティポリシーの整備と見直し計画、BCPの一環としてバックアップ手順が確立されている ・Proxy、IDS、FW、EDRなどのセキュリティ製品で自動アラート検知が導入できている |
| 2:Passive Defense | ・経営層がセキュリティリスクを認識し、戦略を定期的に計画、アラートや異常監視体制が整備されている ・セキュリティ運用手順書が標準化されている ・SIEMなどでアラートを集約し、一元管理ができる |
| 3:Active Defense | ・脅威情報の収集・分析、シナリオ策定から評価までのライフサイクルが実行できる ・外部脅威情報を経営層に報告、重要資産の優先順位付けとアタックサーフェイス特定ができる ・インテリジェンスサービスを活用した分析基盤が導入され、複数の内部情報を手動で分析できるスキルが整備されている |
組織体制・役割分担
組織のセキュリティを強化するためには、組織体制や役割分担をきちんと把握することが大事です。
経営層
経営層は、組織のセキュリティへの投資方法を含む戦略的な意思決定を担当します。脅威の現状を把握することは、効果的なセキュリティ戦略を策定するために欠かせない要素です。
SOC(セキュリティオペレーションセンター)
SOCは、侵害の兆候(IoC)を特定することで、脅威の検出や優先順位付け、対応に重要な役割を果たします。これには、悪意のあるドメイン名やIPアドレス、URL、ファイルハッシュなどが含まれます。
アナリスト
アナリストは、外部の脅威を監視・分析し、組織を守るための情報を提供します。具体的には、ダークウェブやサイバー犯罪情勢などを調査し、漏洩データや脅威を特定します。そして収集した情報を分析し、セキュリティチーム向けに推奨策を提供することで、脅威のリスクを未然に防ぐためのセキュリティ意識向上にも貢献します。
導入・運用上のポイントと評価サイクル
「SANS 2023 CTI Survey調査」によると、脅威インテリジェンスは急速に進化し、多くの業界がセキュリティ業務の中心に取り入れています。特にロシア・ウクライナ戦争を機に、脅威インテリジェンスの重要性が再認識され、前年の35%から増加し、59%の企業がそのニーズを明確に定義しています。また、ISO/IEC 27001の改訂により、脅威インテリジェンスは新たなISMS管理策として追加され、情報を収集・分析し、社内で共有・活用することが求められるようになりました。攻撃への対応が難しくなる中、将来のリスクを予測し積極的なセキュリティ対策を講じることがポイントです。
脅威インテリジェンスの活用事例
サイバーセキュリティの脅威は急速に高度化し、国内企業にも影響を及ぼしています。こうした中で、脅威インテリジェンスの導入が進んでおり、効果的なセキュリティ対策の強化に取り組む企業も存在します。
国内企業における導入・実績
近年サイバーセキュリティ情勢は、高度な脅威が続いており、ランサムウェアやサプライチェーン攻撃が世界中で多発しています。日本では内部不正や標的型攻撃が深刻化し、デジタル化が進む中、脅威がますます巧妙化しています。
日本企業にも導入が進められており、セガサミーホールディングス株式会社は、グループ全体のセキュリティ情報収集を効率化に向けて、脅威インテリジェンス「Recorded Future」を導入しました。これにより、独自のセキュリティガイドラインを策定。「Recorded Future」を活用することで、最新の攻撃トレンドや攻撃手法を迅速に収集し、効率的に対策強化を図ることを公表しました。
効果が出たユースケース(脆弱性管理・IoC連携)
2023年初期には脆弱性の悪用が約3倍に増加し、2024年には新たな脆弱性が30%増加しています。脅威インテリジェンスは、ソフトウェアの脆弱性を特定し、評価・優先順位を付けて、セキュリティチームが効果的にリソースを配分できるよう支援します。これにより、潜在的な脅威が悪用される前に対策を講じ、リスクの深刻度や悪用の可能性を正確に把握できます。
またIoCは、発生した攻撃や進行中の攻撃を示す重要な証拠である、マルウェアや侵害された認証情報、データ漏洩などの情報が提供されます。これらの兆候を早期に検出することで、迅速に対応し、攻撃を未然に防ぐことができます。
他部門連携や法務・広報での活用展開
脅威インテリジェンスを有効活用するには、CISOやセキュリティ部門の責任者が主導するのが良いでしょう。セキュリティやIT部門だけでなく、法務や経営企画部門とも脅威インテリジェンスの情報を共有して連携することが大事です。
もしインシデントが発生した際には、広報やサポート部門とも協力して対応します。脅威インテリジェンスは、インシデント前の予兆把握や対策だけでなく、発生後の状況分析や事実整理にも役立ちます。特に広報と連携することで、企業の説明責任を果たしつつ、レピュテーションリスクへの対処にもつなげることができ、信頼回復を図るうえでも有効に機能します。
また、SOCアナリストには高度な分析能力や最新の脅威を追跡するスキルを磨き、シニアマネージャーやCISOには、ビジネス視点を取り入れたリスク評価や説明能力を高めるトレーニングを行うことで、より高いセキュリティを維持し脅威から守ることができるでしょう。
総合セキュリティ対策なら
パロアルトネットワークス
脅威インテリジェンスは、サイバー攻撃や不正アクセスに対する防御策として、情報収集と分析を通じてセキュリティ強化に活用されています。国内企業でも導入が進み、脆弱性管理やIoC連携などで効果を上げており、コンピュータやネットワークを守る大事なセキュリティ対策と言えるでしょう。
パロアルトネットワークスは、世界中の多様な組織のサイバーセキュリティパートナーとして信頼と実績を重ねています。総合セキュリティ対策を検討中の企業様は、ぜひパロアルトネットワークスまでお気軽にご相談ください。
まとめ
本記事では、脅威インテリジェンスの基礎から実際の活用事例まで解説しました。サイバーセキュリティの重要性が高まる中で、脅威インテリジェンスの導入は欠かせないでしょう。自社のニーズに合わせた情報源とツールを活用し、より高度なセキュリティ対策を構築することを推奨します。
この記事の執筆者
