脅威インテリジェンス

脅威インテリジェンスとは何か

脅威インテリジェンスとは、危険な情報を調査し、敵に関する情報を収集する力のことです。不正なプログラマーの実態、動機、能力を把握することで、侵入の検知、備え、そして防ぐことが可能になります。

将来のハッキング攻撃に対して、企業は反応的ではなく未然防止の対策をとることができます。まずは防御の弱点、危険度、侵入手法を理解しなければ、サイバー攻撃と効果的に戦うことは難しいでしょう。ランサムウェアの場合、CTIを活用することでセキュリティ担当者が迅速に対応し、被害の拡大を抑えることができ、結果としてコストも削減されます. 

ネットやクラウドを含む組織全体のセキュリティは、CTIの導入によって強化される可能性があります。

CTIは何をするのか

CTIから得られる情報は、こうした事態に備え、資本や信頼の損失を抑えるために活用できます。これは、将来起こりうる侵入を予測し、守る能力を意味し、防御体制の見直しやそもそも侵入自体を防ぐためのものです。

CTIの重要性

重要情報の収集と分析は、いかなる実践的なサイバーセキュリティ体制においても不可欠です。CTIは以下の機能を提供します：

• データ漏洩の防止：統一されたCTIプログラムにより、企業はネット上の侵入リスクを分類し、機密情報の流出を防ぐことができます。
• 安全対策の指針の提供：危険を分析・特定することで、一般的なハッカーの手口が明らかになり、将来のサイバー攻撃から守るための対策を講じられます。
• 情報の共有：ハッカーに関する情報は日々更新されます。サイバーリスクの専門家は、最新の脅威情報を仲間と共有することで対策を講じています。

‍

CTIは誰に役立つか

セキュリティやリスクを担当するチームリーダーやグループリーダー向けです。高度な訓練を受けたアナリストだけが脅威を解析できるという考えはありますが、実際はあらゆる規模の企業でネットセキュリティ全体の品質向上に寄与します。

CTIをセキュリティチーム内の独立した機能として扱うと、本来その恩恵を最も受けるべき関係者が必要なときに利用できなくなる恐れがあります。

セキュリティ運用チームは多くの通知に対応しきれないことが多いですが、既存のセキュリティ対策とCTIを連携させることで、通知の優先順位をつけ、必要な情報を絞り込むことができます. 

外部から得られる洞察や文脈情報により、脆弱性管理チームは最も重要な脆弱性を的確に優先順位付けできるようになります. 

また、CTIは脅威関係者の手口や技術、実践などの重要な情報をウェブ上の各種データから提供し、詐欺防止やリスク評価、その他高次のセキュリティ対策を充実させます。

脅威インテリジェンスの種類

以下の3段階は、インテリジェンスの成熟度を示すものと考えてください。サイバーセキュリティの脅威インテリジェンスは進むにつれて、分析や文脈が複雑になり、対象が広がるとともに、価格も上昇する可能性があります。

1. 戦術的脅威インテリジェンス

【問題】企業は孤立したセキュリティリスクに注目しがちです。

【目的】根本原因への対抗策として、脅威全体を広く理解することです。

将来を見据えた技術的な分析で、比較的単純な侵入の兆候を検知します。既知の悪意あるドメイン、IPアドレス、URL、ファイルハッシュなどがIOCに含まれ、コンピューターで処理可能なため、セキュリティ製品はフィードやAPI連携を活用してデータを取り込むことができます。

自動で生成されるため作成は容易ですが、悪意あるIPアドレスやドメインは数日、場合によっては数時間で無効になることが多く、オープンソースや無料のデータフィードで入手できる一方、寿命は短い傾向にあります。

インテリジェンスフィードに登録すると膨大な情報が入手できますが、その情報を整理、分析して戦略的に重要な脅威を抽出するのは難しいです。また、情報源が十分に迅速または正確でない場合、誤検知につながる恐れもあります。

2. 運用上の脅威インテリジェンス

【問題】脅威関係者は効果的で、機会を的確に捉え、リスクの低い手法を選択します。

【目的】攻撃者を特定するため、キャンペーンの追跡やプロファイリングを行います。

テクノロジーの専門家は、ポーカーのプレイヤーが相手の癖を読むように、敵の行動パターンを研究します。

侵入には必ず「誰が」「なぜ」「どのように」という要素があり、攻撃者の特定は「誰が」に関するものです。「なぜ」は動機を示し、TTPは「どのように」を説明します。これらを総合的に理解することで、敵の戦略や戦術、全体の作戦成功の背景が明らかになります。これが運用インテリジェンスと呼ばれる所以です。

CTIの運用用情報は、機械だけで作成することはできません。データを有用な形に変換するには人の分析が不可欠です。新たなマルウェアやインフラが発見されるたびに更新できる戦術的インテリジェンスとは異なり、運用インテリジェンスは攻撃者が戦法を大きく変えにくいため、寿命が長いです。

日々の運用を管理するセキュリティ運用センターの専門家に適しています。

3. 戦略的脅威インテリジェンス

【課題】敵を誤解すると、企業や組織の判断が誤る可能性があります。

【目的】脅威インテリジェンスをもとに、企業の判断やプロセスを導くことです。

サイバー攻撃者は単独で行動することは稀で、国家間の要因やリスクが背景にある場合も多いです。資金目的で活動する犯罪グループも常に戦略を更新しており、軽視できません。

国際情勢、外交政策、長期的な国内外の動向が、組織のサイバーセキュリティに影響を及ぼすことを示しています。

また、経営層にサイバーリスクについての情報を提供し、戦略目標を守るためのセキュリティ投資の判断材料となります。

戦略的インテリジェンスは作成が最も難しく、人によるデータ収集と分析、サイバーセキュリティや地政学の知識が求められ、報告書として提供されることが一般的です。

脅威インテリジェンスのライフサイクル

インテリジェンスのライフサイクルとは、生データから有用な情報を生成するための一連のステップです。バリエーションはありますが、いずれもサイバーセキュリティチームが信頼できるCTIプラットフォームを構築し運用するための支援を目的としています。

有用な脅威インテリジェンスを得る上での大きな障害は、脅威が常に変化するため、企業が即時に対応し適応しなければならない点です。インテリジェンスサイクルは、現状の脅威を評価しながら連携を図るための方法であり、継続的な改善を促すフィードバックループとなる6つの段階があります：

次の6つのステップを見ていきます：

1. 要件の設定

この段階では、CTI作戦の方向性を決定します。関係者の要望を確認し、全体の目的と手法について合意します。調査の目的としては、

• 攻撃者の正体と動機
• 攻撃対象となる部分
• 防御強化のための対策

2. 情報収集

第2段階では、初期要件を満たす生データを集めます。内部外部のさまざまな情報源からの収集が望ましく、内部ではネットワークログや過去の対応記録などが挙げられます。

IOCのリストが一般的ですが、顧客の認証情報、ペーストサイトの生コード、ニュースやSNSの記事などもリスク指標として考えられます。

3. 処理

収集した生データは、分析に適した形式に変換する必要があります。通常、スプレッドシートへの入力、ファイルの復号、外国の情報の翻訳、データの正確性や関連性の評価などが行われます。

4. 分析

処理されたデータに対して、前段階での疑問に答えるための詳細な分析を実施します。また、調査結果を関係者向けのレポートや有用な提言にまとめることも目指します。

5. 情報共有

オープンソースのCTIチームは、調査結果を関係者に報告します。報告の際は、受け手に合わせた形式で、通常は1ページ以内の簡潔なレポートやスライドで提供されます。

6. フィードバック

将来のCTI運用を改善するため、提供した報告に対するフィードバックを得ることが不可欠です。関係者の優先事項や、報告の提供頻度、情報の伝達・提示方法などが変わる可能性があります。

CTIフィードとは何か

各種CTIフィードや情報源から、潜在的な危険や犯行者に関する有用な情報が継続的に提供されます。CTIアナリストは、異常な動作、悪意あるドメイン、IPアドレスなどのIOCを幅広い情報源から集めます。フィードは豊富な情報を供給しますが、レポート作成に必要な重要なデータを抽出するためには、アナリストがすべてを精査する必要があります。

‍

脅威インテリジェンスツール

これらのツールは、販売されているものとオープンソースの無料ツールがあり、それぞれCTIの収集方法が異なります：

• マルウェア逆解析ツール：類似の攻撃から守るため、マルウェアを解析するツールです。
• SIEM：セキュリティチームはSIEM技術を利用して、即時にネットワーク上の異常な活動や怪しい通信を監視できます。SIEMはセキュリティ情報とイベント管理の略です。
• ネットワークトラフィック解析ツール：ネット上のイベントを収集・記録し、侵入の検知を支援します。
• 脅威インテリジェンスコミュニティ：脅威インテリジェンスの情報交換を行うコミュニティは、無料ウェブサイトなどの形で既知のIOCや脅威情報を集約して提供します。これらのネットワークは、脅威回避や軽減の情報、協調した調査のための支援も行っています。

攻撃の可能性を認識すれば、組織は巧みに対策を講じることができます。すべての組織は、脅威インテリジェンスツールを活用したセキュリティ計画を策定すべきです。