脅威インテリジェンスとは、サイバー脅威に関する情報を収集・整理・分析するプロセス、またはそのプロセスから得られる情報のことです。

脅威インテリジェンスを活用することで、既知・未知の脅威に対応できるだけでなく、万が一攻撃を受けたとしても被害を最小限に抑えられるといったメリットが期待できます。

本記事では、脅威インテリジェンスの重要性や、効果的な活用に欠かせないライフサイクルについて解説します。

脅威インテリジェンスの活用を検討している方はぜひご一読ください。

また、本記事では未知の脅威への対策に有効な「LANSCOPE サイバープロテクション」のセキュリティソリューションについても紹介しています。

セキュリティ強化を目指す企業・組織の方は、ぜひご確認ください。

脅威インテリジェンスとは

脅威インテリジェンスとは、サイバー攻撃やハッキングリスクを防ぐために、セキュリティの専門家が、攻撃者の手口や新たな脆弱性等の情報を収集・分析したデータの総称です。

脅威インテリジェンスを活用することで、企業や組織はサイバー攻撃に対する防御を強化し、潜在的な脅威を未然に防ぐことができます。

そもそも「情報」は、「データ」「インフォメーション」「インテリジェンス」の3つに分類することができます。

まず、単純に集められた未加工の情報を「データ」、データを整理・加工したものを「インフォメーション」、さらに分析と評価を加えたものを「インテリジェンス」と呼びます。

脅威インテリジェンスの情報収集には、主に3つの方法があります。

オープンソースインテリジェンス (OSINT)	・一般に公開されている情報源から情報を収集する方法 ・具体的な情報源としては、新聞・論文・公的文書・インターネット上の情報などが挙げられる
ヒューマンインテリジェンス (HUMINT)	・人から直接または間接的に情報を収集する方法 ・諜報活動や監視によって得られることが多い
シグナルインテリジェンス (SIGINT)	・通信や電子信号の傍受から情報を収集する方法 ・この方法では、複雑な信号を解析するためのソフトウェアなどが必要

これらの方法を用いて収集された脅威インテリジェンスは、既知だけでなく未知の脅威対策にも役立ち、サイバー攻撃の被害を最小限に抑えるための助けとなります。

脅威インテリジェンスのライフサイクル

セキュリティチームが脅威インテリジェンスを作成し、継続的に活用・改善に取り組むプロセスを「脅威インテリジェンスのライフサイクル」といいます。

脅威インテリジェンスのライフサイクルは、以下の6つの段階で構成されます。

脅威インテリジェンスを効果的に活用するためには、このライフサイクルを繰り返すことが重要なので、以下で解説していきます。

1．計画

計画段階では、脅威インテリジェンスの目的、利用範囲、結果の取り扱い方法などを明確にします。

目的	どういった情報を収集するのか、だれがどのように利用するのか
利用範囲	組織として守るべき資産はどれか
結果の取り扱い方法	得られた情報への対応方針、基本方針、対策基準、実施手順の設定

この段階では、組織のどの側面を保護する必要があるか、そのために必要な脅威インテリジェンスは何か、サイバー侵害が組織に与える影響レベルは？などを理解することが重要です。

2．収集

収集の段階では、計画の段階で設定した目的や利用範囲に基づいてデータを集めます。

ここで重要なポイントは、データの量と質の両方を確保することです。

収集源としては以下のようなものが考えられます。

収集に際しては、複数の情報源を活用することが重要です。

またツールを使用する場合は、検出分野に偏りがないか、自社の目的に合致しているかを確認する必要があります。

3．処理

次に、収集したデータを分析可能な形式へと変換（処理）します。

たとえば、インタビューで得たデータは、事実確認や他のデータとの照合をおこなうことで、活用できるようにします。

また、異なる形式で収集されたデータは、Excelやスプレッドシートなど、分析しやすいように統一的なフォーマットに変換しましょう。

4．分析

データの処理が完了したら、分析の段階に進みます。

ここでの目的は、単なる情報を、組織の意思決定に役立つインテリジェンスへと変換することです。

分析では、以下のような点を明らかにしていきます。

分析結果は、セキュリティリソースへの投資判断や、特定の脅威に関する調査が必要かどうかの判断、緊急の対応アクションの特定などに活用できます。

重要なのは、分析結果が意思決定者にとって理解しやすく、利用できる情報となっていることです。

5．拡散

分析が完了したら、その結果を組織内の関連する利害関係者に広めていく必要があります。

ここでのポイントは、各チームや部門のニーズに合わせた情報提供をおこなうことです。

効果的な情報拡散のためには、各対象者が必要なインテリジェンスの種類、形式、頻度などを事前に把握しておくこと必要があります。

たとえば、経営層向けには「簡潔な要約」が、技術チーム向けには「詳細な技術情報」が、必要となるでしょう。

6．フィードバック

分析結果の報告と、今後の改善に向けたフィードバックをおこないます。

報告は計画段階で定めたフォーマットに従って、迅速におこなうことが重要です。

また、緊急時の報告プロセスも事前に決めておく必要があります。

予期せぬ重大な脅威が発見された場合、通常のサイクルを待たず、即座に情報を共有する仕組みが必要となるためです。

利害関係者からフィードバックを受けることは、脅威インテリジェンスプログラム全体の改善に役立ちます。

各グループのニーズや目的が適切に反映されているか、情報の質や頻度は適切かなどといった点を評価し、次のサイクルに活かすようにしましょう。

脅威インテリジェンスはなぜ重要なのか

脅威インテリジェンスが重要な理由としては、以下の3つが挙げられます。

ひとつずつ解説します。

脅威を予防するため

脅威インテリジェンスを活用することで、過去のサイバー攻撃で使用されたツールや手口を把握できるため、脅威に対してあらかじめ効果的な対策を講じることができます。

また脅威インテリジェンスでは、最新の脅威情報を収集・分析することも可能なので、新たな攻撃への対策・予防にも役立ちます。

セキュリティを強化するため

サイバー攻撃では、システムやソフトウェアなどの脆弱性（セキュリティ上の欠陥）が、不正アクセスやマルウェア感染の経路として、たびたび悪用されます。

脅威インテリジェンスは、この脆弱性の特定・修正にも活用できます。

たとえば、リアルタイムで発生している攻撃の情報をもとに、新たなサイバー攻撃手法やゼロデイ攻撃にも、迅速に対応することができます。

また、既知の脆弱性に対するパッチや修正案の情報も提供されるため、効率的なセキュリティ対策が可能です。

迅速な対応を実現するため

脅威インテリジェンスを活用することで、サイバー攻撃に対して、迅速かつ効果的な対応が可能になります。

脅威インテリジェンスの特徴として、リアルタイムでの情報収集と分析が可能である点が挙げられます。

この情報を活用することで、攻撃の兆候を素早く検知し、被害を最小限に抑えることができるようになるでしょう。

また、類似の攻撃に対する対策を迅速に展開することも可能です。

脅威インテリジェンスはISMS構築においても重要

「ISMS （情報セキュリティマネジメントシステム）」とは、リスクアセスメントに基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組みです。

このISMSを構築・運用するための基準である「ISO/IEC 27001」が2022年10月に改訂された際に、管理策として11項目が追加され、その1つに「脅威インテリジェンス」が明記されました。

管理策とは、ISO/IEC 27001の「附属書A」に記載されている項目のことで、適用するかどうか、企業・組織が選択できるセキュリティ対策です。

ただし、基本的に取り組めるものすべて適用する必要があるとされ、業務内容などが要因で適用できない場合は、その理由を明確に記載しなければいけません。

では「脅威インテリジェンス」を適用する場合、具体的にどのような取り組みをおこなえばよいのか、解説します。

脅威インテリジェンスの活用方法

脅威インテリジェンスを活用する場合、以下の取り組みをおこなう必要があります。

まずは、IPAやJPCERT/CCといった専門機関のサイトをチェックしたりセミナーに参加したりして、情報セキュリティに関する情報を集めます。

次に収集した情報から、攻撃の手法や目的などを明らかにしたうえで、自社で発生する危険性はあるのかを分析します。

最後に、分析した結果を情報セキュリティ教育の資料に反映させるなどして共有し、セキュリティ強化につなげます。

脅威インテリジェンスの種類

脅威インテリジェンスは、その目的や用途に応じて、以下の4つに分類されます。

それぞれ解説していきます。

戦術的脅威インテリジェンス

戦術的脅威インテリジェンスでは、主に攻撃者の攻撃手法や使用ツールについて、また、その攻撃にどのように対処したらよいかなどの情報を取り扱います。

マルウェアのハッシュ値やIPアドレスなど、具体的なデータが含まれているため、セキュリティチームが攻撃の検知や防御に直接役立てることが可能です。

専門的なデータが多く含まれるため、SOCやCISRTなど、セキュリティ担当者向けの情報といえます。

※SOC…24時間365日体制でシステムやネットワークを監視し、検知・分析を担うセキュリティ組織
※CSIRT…セキュリティインシデントに対処するための専門チーム

運用上の脅威インテリジェンス

運用上の脅威インテリジェンスは、攻撃者の意図や性質、タイミングなどに焦点を当てた情報のことで、組織のリスク評価やインシデント対応プロセスの改善に活用されます。

運用上の脅威インテリジェンスを活用することで、「企業のセキュリティ侵害の範囲の特定」や「攻撃者の捜索」などが可能になります。

攻撃者の分析に役立てられることから、CSIRTやセキュリティ管理者向けの情報といえます。

戦略的脅威インテリジェンス

戦略的脅威インテリジェンスは、将来的に自社や業界にどのような脅威が影響を及ぼすかを広い視点で分析し、組織全体のセキュリティ戦略や投資判断に役立てるための情報です。

個別の攻撃ではなく、攻撃者の動機や活動背景、業界全体の傾向などが重視されます。

そのため、「自社がうける可能性がある攻撃」「優先的におこなうべき対策（導入すべきソリューション）」が明確にすることが可能です。

ポリシーの策定や見直しに活用できる戦略的脅威インテリジェンスは、組織の経営層などセキュリティ戦略の意思決定を行う人向けの情報といえます。

技術的脅威インテリジェンス

技術的脅威インテリジェンスには、具体的な攻撃手法、脆弱性、マルウェアのコード、攻撃者が使用するツールやインフラに関する詳細情報などが含まれます。

セキュリティシステムやツールに直接適用し、サイバー攻撃を検知・防御するために使われます。

具体的には、フィッシング攻撃に使用される電子メールの特徴や、既知のマルウェアサンプルの分析結果などが該当します。

脅威インテリジェンスを活用するメリット

脅威インテリジェンスを活用することで、以下のようなメリットが期待できます。

活用メリットを確認していきましょう。

既知の脅威だけでなく未知の脅威にも対応できる

脅威インテリジェンスは、過去の攻撃パターンだけでなく、最新の手法や攻撃者に関する情報も提供します。

そのため、既知の脅威はもちろん、未知の脅威に対しても適切な対策を講じられるようになります。

被害を最小限に抑えられる

あらかじめ攻撃の手口などを把握し、効果的な対策を講じておくことで、万が一攻撃を受けたとしても被害を最小限に抑えることができます。

また脅威インテリジェンスは、攻撃後の分析や復旧作業においても有用な情報源となります。

攻撃手法を特定できる

脅威インテリジェンスを活用することで、具体的な攻撃手法の特定に加えて、攻撃者の特定も可能になります。

また、脅威インテリジェンスで分析した情報をもとに以下を実施することで、セキュリティ強化を目指すこともできるでしょう。

• 攻撃者が狙う可能性の高い脆弱性の修正
• 特定の攻撃パターンに対応したセキュリティ対策の実施

組織全体のセキュリティを強化できる

生成された脅威インテリジェンスを共有することで、従業員一人ひとりがサイバー攻撃の危険性を理解しやすくなります。

これにより、従業員のセキュリティリテラシーが向上すると、組織全体のセキュリティ強化を期待できるでしょう。

また、脅威インテリジェンスを通じて得られた知見は、セキュリティトレーニングや啓発活動にも活用できます。

実際の攻撃事例や最新の手法を用いた実践的な訓練を行うことで、組織全体の対応能力の向上にもつながるでしょう。

未知の脅威への対策に「LANSCOPE サイバープロテクション」

脅威インテリジェンスを活用するためには、実際にそのデータを利用できるツールやシステムが必要です。

多くの脅威はPCやスマートフォンといったエンドポイントを標的にするため、エンドポイントを脅威から守る「アンチウイルス」や「EDR」といったセキュリティソリューションの導入が求められます。

「LANSCOPE サイバープロテクション」​​では、高精度な2種類の​​AIアンチウイルスを提供しています。

それぞれの特徴・強みを解説します。

世界トップレベルの専門家によるMDRサービス「Aurora Managed Endpoint Defense」

「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense」を提供しています。

「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが運用するMDRサービスです。 

• 脅威の侵入をブロックする「AIアンチウイルス」
• 侵入後の脅威を検知し対処する「EDR」

アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立することができます。

​​しかし実際は、「EDRによるセキュリティ監視に手が回らない」「アンチウイルスとEDRの併用ができていない」というケースも多いです。

このような課題をお持ちの企業・組織の方に、「Aurora Managed Endpoint Defense」は「高度なエンドポイントセキュリティ製品」と、その製品の「監視・運用サービス」をセットで提供します。

高精度なアンチウイルス・EDRを併用できることに加え、セキュリティのプロが24時間365日監視をおこなうため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。​

また、​​「LANSCOPE サイバープロテクション」は、​​アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な運用も可能です。

「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。 

​2． 各種ファイル・デバイスに対策できるNGAV「Deep Instinct」

次に、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」を紹介します。​

たとえば、以下のような課題をお持ちの企業・組織の方には、「Deep Instinct」が効果を発揮します。

• 未知のマルウェアも検知したい
• 実行ファイル以外のファイル形式（Excel、PDF、zipなど）にも対応できる製品が必要
• 手頃な価格で高性能なアンチウイルスを導入したい

近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなく、ExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。

ファイル形式を問わず対処する「Deep Instinct」であれば、高度化・巧妙化するマルウェアも、高い精度で検知し、防御することが可能です。​

「Deep Instinct」についてより詳しく知りたい方は、下記のページをご確認ください。

​​もしマルウェアに感染したら？インシデント対応パッケージにお任せください​

​​「PCがマルウェアに感染してしまったかも」​
​​「システムへ不正アクセスされた痕跡がある」​

​​このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する​​「インシデント対応パッケージ」​​の利用がおすすめです。​

フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。ランサムウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。​

「自社で復旧作業をおこなうのが難しい」「攻撃の感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。​

まとめ

本記事では「脅威インテリジェンス」をテーマに、その概要やメリットなどについて解説しました。

年々高度化するサイバー攻撃に対抗するためには、脅威インテリジェンスの活用が必要不可欠といえます。

効果的に活用するためにもは、6つのライフサイクルを回しながら、日々改善していくことが重要であるということを覚えておきましょう。

また、脅威インテリジェンスを活用するためには、実際に収集・処理・分析したデータを利用できるツールやシステムが必要です。

本記事で紹介した「LANSCOPE サイバープロテクション」​​は、AIを活用した最新のアンチウイルスを提供しています。

お客様の用途や要件に応じて柔軟な運用が可能なため、セキュリティ強化を目指す企業・組織の方はぜひ導入をご検討ください。