Written by 夏野ゆきか
目 次
脅威インテリジェンスとは、サイバー脅威に関する情報を収集・整理・分析するプロセス、またはそのプロセスから得られる情報のことです。
脅威インテリジェンスは、その目的や用途に応じて、以下の4つに分類されます。
| 戦術的脅威インテリジェンス | 攻撃者の使用ツールや具体的な攻撃手法、それらへの対処方法などを詳細に記述した情報 |
|---|---|
| 運用上の脅威インテリジェンス | 攻撃者の意図や性質、タイミングなどに焦点を当てた情報 |
| 戦略的脅威インテリジェンス | 攻撃者の動機・活動背景、ターゲットなど攻撃の全体像をとらえるための情報 |
| 技術的脅威インテリジェンス | 具体的な攻撃手法、脆弱性、マルウェアのコード、攻撃者が使用するツールやインフラに関する詳細情報 |
脅威インテリジェンスを活用することで、既知・未知の脅威に対応できるだけでなく、万が一攻撃を受けたとしても被害を最小限に抑えられるといったメリットが期待できます。
ただ、この脅威インテリジェンスを効果的に活用するためには、計画・収集・処理・分析・拡散・フィードバックという6つのライフサイクルを回すことが必要不可欠です。
この記事では、脅威インテリジェンスの重要性や、効果的な活用に欠かせないライフサイクルについて解説します。
▼この記事を要約すると
- 脅威インテリジェンスとは、サイバー脅威に関する情報を収集・整理・分析するプロセス、またはそのプロセスから得られる情報のこと
- 脅威インテリジェンスが重要な理由としては、「脅威を予防するため」「セキュリティを強化するため」「迅速な対応を実現するため」などが挙げられる
- 脅威インテリジェンスは、その目的や用途に応じて、「戦術的脅威インテリジェンス」「運用上の脅威インテリジェンス」「戦略的脅威インテリジェンス」「技術的脅威インテリジェンス」の4つに分類される
- 脅威インテリジェンスを活用するメリットとして「既知・未知の脅威にも対応できる」「被害を最小限に抑えられる」「攻撃手法を特定できる」「組織全体のセキュリティを強化できる」などが挙げられる
- 脅威インテリジェンスを効果的に活用するためには、計画・収集・処理・分析・拡散・フィードバックという6つのライフサイクルを回すことが必要不可欠
脅威インテリジェンスとは
脅威インテリジェンスとは、サイバー攻撃やハッキングリスクを防ぐために、セキュリティの専門家が、攻撃者の手口や新たな脆弱性等の情報を収集・分析したデータの総称です。
脅威インテリジェンスを活用することで、企業や組織はサイバー攻撃に対する防御を強化し、潜在的な脅威を未然に防ぐことができます。
そもそも「情報」とは、「データ」「インフォメーション」「インテリジェンス」の3分類にわけることができます。
まず、単純に集められた未加工の情報を「データ」と呼び、データを整理・加工したものが「インフォメーション」、さらに分析と評価を加えたものが「インテリジェンス」です。
脅威インテリジェンスの情報収集には、主に3つの方法があります。
| オープンソースインテリジェンス (OSINT) | 一般に公開されている情報源から情報を収集する方法。 具体的な情報源としては、新聞・論文・公的文書・インターネット上の情報などが挙げられる。 |
|---|---|
| ヒューマンインテリジェンス (HUMINT) | 人から直接または間接的に情報を収集する方法。 諜報活動や監視によって得られることが多い。 |
| シグナルインテリジェンス (SIGINT) | 通信や電子信号の傍受から情報を収集する方法。 この方法では、複雑な信号を解析するためのソフトウェアなどが必要。 |
これらの方法を用いて収集された脅威インテリジェンスは、既知だけでなく未知の脅威対策にも役立ち、サイバー攻撃の被害を最小限に抑えるための助けとなります。
脅威インテリジェンスはなぜ重要なのか
脅威インテリジェンスが重要な理由としては、以下の3つが挙げられます。
- ・ 脅威を予防するため
- ・ セキュリティを強化するため
- ・ 迅速な対応を実現するため
情報を参考に、脅威を予防するため
脅威インテリジェンスを活用することで、過去のサイバー攻撃で使用されたツールや手口を把握できるので、あらかじめ効果的な対策を講じることができます。
また脅威インテリジェンスでは、最新の脅威情報を収集・分析することも可能なので、新たな攻撃への対策・予防にも役立ちます。
セキュリティを強化するため
サイバー攻撃では、システムやソフトウェアなどの脆弱性(セキュリティ上の欠陥)が、不正アクセスやマルウェア感染の経路として、たびたび悪用されます。
脅威インテリジェンスは、これら脆弱性の特定・修正にも活用できます。
例えば、リアルタイムで発生している攻撃の情報を基に、新たなサイバー攻撃手法やゼロデイ攻撃にも、迅速に対応することができます。
また、既知の脆弱性に対するパッチや修正案の情報も提供されるため、効率的なセキュリティ対策が可能です。
迅速な対応を実現するため
脅威インテリジェンスの特徴として、リアルタイムでの情報収集と分析が可能なことが挙げられます。
早期に警告システムや情報共有の仕組みを整備することで、攻撃を素早く検知し、被害を最小限に抑えられます。また、類似の攻撃に対する対策を迅速に展開することも可能です。
脅威インテリジェンスはISMS構築においても重要
ISMS (情報セキュリティマネジメントシステム)とは、リスクアセスメントに基づき、保有する情報の重要度に合わせ、適切なマネジメントを実施・継続的に改善するための仕組みを指します。
このISMSを構築・運用するための基準である「ISO/IEC 27001」が2022年10月に改訂された際、管理策として11項目が追加され、その1つに「脅威インテリジェンス」が明記されました。
▼改訂によって追加された管理策
- ・ 脅威インテリジェンス
- ・ クラウドサービスの利用における情報セキュリティ
- ・ 事業継続のためのICTの備え
- ・ 物理的セキュリティの監視
- ・ 構成管理
- ・ 情報の削除
- ・ データマスキング
- ・ データ漏洩の防止
- ・ 監視活動
- ・ ウェブフィルタリング
- ・ セキュリティに配慮したコーディング
管理策とは、ISO/IEC 27001の「附属書A」に記載されている項目のことで、適用するかどうか、企業・組織が選択できるセキュリティ対策です。
ただし、基本的に取り組めるものすべて適用する必要があるとされ、業務内容などが要因で適用できない場合は、その理由を明確に記載しなければいけません。
では「脅威インテリジェンス」を適用する場合、具体的にどのような取り組みを行えばよいのか、解説します。
脅威インテリジェンスの実装例
脅威インテリジェンスを適用する場合、以下の取り組みを行う必要があります。
- ・ 情報収集
- ・ 分析
- ・ 共有
まずは、IPAやJPCERT/CCといった専門機関のサイトをチェックしたりセミナーに参加したりして、情報セキュリティに関する情報を集めます。
次に収集した情報から、攻撃の手法や目的などを明らかにしたうえで、自社で発生する危険性はあるのかを分析します。
最後に、分析した結果を情報セキュリティ教育の資料に反映させるなどして共有し、セキュリティ強化につなげます。
脅威インテリジェンスの種類
脅威インテリジェンスは、その目的や用途に応じて、以下の4つに分類されます。
- 1. 戦術的脅威インテリジェンス
- 2. 運用上の脅威インテリジェンス
- 3. 戦略的脅威インテリジェンス
- 4. 技術的脅威インテリジェンス
1.戦術的脅威インテリジェンス
戦術的脅威インテリジェンスは、攻撃者の使用ツールや具体的な攻撃手法、それらへの対処方法などを詳細に記述した情報です。
マルウェアのハッシュ値やIPアドレスなど、具体的なデータが含まれているので、セキュリティチームが攻撃の検知や防御に直接役立てることが可能です。
専門的なデータが多く含まれるため、SOCやCISRTなどセキュリティ担当者向けの情報といえます。
2.運用上の脅威インテリジェンス
運用上の脅威インテリジェンスは、攻撃者の意図や性質、タイミングなどに焦点を当てた情報のことで、組織のリスク評価やインシデント対応プロセスの改善に活用されます。
運用上の脅威インテリジェンスによって
- ・ 企業のセキュリティ侵害の範囲の特定
- ・ 攻撃者を捜索
などが可能です。
攻撃者の分析に役立てられることから、CSIRTやセキュリティ管理者向けの情報といえます。
※CSIRT…セキュリティインシデントに対処するための専門チームまたは組織
3.戦略的脅威インテリジェンス
戦略的脅威インテリジェンスは、攻撃者の動機、活動背景、ターゲットなど攻撃の全体像をとらえるための情報です。
ポリシーの策定や見直しに活用できる戦略的脅威インテリジェンスは、組織の経営層などセキュリティ戦略の意思決定を行う人向けの情報といえます。
戦略的インテリジェンスによって
- ・ 自社がうける可能性がある攻撃
- ・ 優先的に行うべき対策(導入すべきソリューション)
などが明確になります。
4.技術的脅威インテリジェンス
技術的脅威インテリジェンスには、具体的な攻撃手法、脆弱性、マルウェアのコード、攻撃者が使用するツールやインフラに関する詳細情報などが含まれます。
セキュリティシステムやツールに直接適用し、サイバー攻撃を検知・防御するために使われます。
具体的には、フィッシング攻撃に使用される電子メールの特徴や、既知のマルウェアサンプルの分析結果などが該当します。
脅威インテリジェンスを活用するメリット
脅威インテリジェンスを活用することで、以下のようなメリットが期待できます。
- ・ 既知の脅威だけでなく未知の脅威にも対応できる
- ・ 被害を最小限に抑えられる
- ・ 攻撃手法を特定できる
- ・ 組織全体のセキュリティを強化できる
既知の脅威だけでなく未知の脅威にも対応できる
脅威インテリジェンスは、過去の攻撃パターンだけでなく、最新の手法や攻撃者に関する情報も提供します。
これにより、組織は既知の脅威はもちろん、未知の脅威に対しても適切な対策を講じられるのです。
被害を最小限に抑えられる
あらかじめ攻撃の手口などを把握し、効果的な対策を講じておけば、万が一攻撃を受けたとしても被害を最小限に抑えることができます。
また脅威インテリジェンスは、攻撃後の分析や復旧作業においても有用な情報源となります。
攻撃手法を特定できる
脅威インテリジェンスを活用することで、具体的な攻撃手法、さらには攻撃者の特定が可能です。
この情報を基に
- ・ 攻撃者が狙う可能性の高い脆弱性の修正
- ・ 特定の攻撃パターンに対応したセキュリティ対策の実施
などを行えば、セキュリティの強化につながります。
組織全体のセキュリティを強化できる
生成された脅威インテリジェンスを共有することで、従業員一人ひとりがサイバー攻撃の危険性を理解しやすくなります。これにより、セキュリティリテラシーが向上し、組織全体のセキュリティ強化につながります。
また、脅威インテリジェンスを通じて得られた知見は、セキュリティトレーニングや啓発活動にも活用できます。
実際の攻撃事例や最新の手法を用いた実践的な訓練を行うことで、組織全体の対応能力の向上にもつながるでしょう。
脅威インテリジェンスのライフサイクル
セキュリティチームが脅威インテリジェンスを作成し、継続的に活用・改善に取り組むプロセスを「脅威インテリジェンスのライフサイクル」といいます。
脅威インテリジェンスのライフサイクルは、計画・収集・処理・分析・拡散・フィードバックという6つの段階で構成されます。
1.計画
計画段階では、脅威インテリジェンスの目的、利用範囲、結果の取り扱い方法などを明確にします
- ・ 目的:どういった情報を収集するのか、だれがどのように利用するのか
- ・ 利用範囲:組織として守るべき資産はどれか
- ・ 結果の取り扱い方法:得られた情報への対応方針、基本方針、対策基準、実施手順の設定
この段階では、組織のどの側面を保護する必要があるか、そのために必要な脅威インテリジェンスは何か、サイバー侵害が組織に与える影響レベルは?などを理解することが重要です。
2.収集
収集では、計画の段階で設定した目的や利用範囲に基づいてデータを集めます。ここで重要なポイントは、データの量と質の両方を確保することです。
収集源としては以下のようなものが考えられます。
- ・ 内部ネットワークやセキュリティ端末からのメタデータ
- ・ サイバーセキュリティ組織からの脅威情報フィード
- ・ SNSやニュースサイト、ブログ
収集に際しては、複数の情報源を活用することが重要です。
またツールを使用する場合は、検出分野に偏りがないか、自社の目的に合致しているかを確認する必要があります。
3.処理
収集したデータを、分析可能な形式へと変換します。
例えば、インタビューで得たデータは、事実確認や他のデータとの照合を行うことで、活用できるようにします。
また、異なる形式で収集されたデータを、Excelやスプレッドシートなど統一的なフォーマットに変換することも重要なタスクです。
4.分析
データの処理が完了したら、分析を行います。ここでの目的は、単なる情報を、組織の意思決定に役立つインテリジェンスへと変換することです。
分析では、以下のような点を明らかにしていきます。
- ・ どの情報が重要で、どの情報に注目すべきか
- ・ 結果からどのようなリスクが示唆されるか
- ・ それらのリスクにどう対処すべきか
分析結果は、セキュリティリソースへの投資判断や、特定の脅威に関する調査が必要かどうかの判断、緊急の対応アクションの特定などに活用できます。
重要なのは、分析結果が意思決定者にとって理解しやすく、利用できる情報となっていることです。
5.拡散
分析が完了したら、その結果を組織内の関連する利害関係者に広めていく必要があります。ここでのポイントは、各チームや部門のニーズに合わせた情報提供を行うことです。
効果的な情報拡散のためには、各対象者が必要なインテリジェンスの種類、形式、頻度などを事前に把握しておくことが有効です。
例えば、経営層向けには「簡潔な要約」が、技術チーム向けには「詳細な技術情報」が、必要となるでしょう。
6.フィードバック
分析結果の報告と、今後の改善に向けたフィードバックを行います。報告は計画段階で定めたフォーマットに従って、迅速に行うことが重要です。
また、緊急時の報告プロセスも事前に決めておく必要があります。予期せぬ重大な脅威が発見された場合、通常のサイクルを待たず、即座に情報を共有する仕組みが必要となるためです。
利害関係者からフィードバックを受けることは、脅威インテリジェンスプログラム全体の改善に役立ちます。各グループのニーズや目的が適切に反映されているか、情報の質や頻度は適切か、といった点を常に評価し、次のサイクルに活かしていくことが重要です。
未知の脅威に対策するなら「LANSCOPE サイバープロテクション」がおすすめ
脅威インテリジェンスを活用するためには、実際にそのデータを利用できるツールやシステムが必要です。
多くの脅威はPCやスマホ端末といったエンドポイントを標的にしているため、エンドポイントを脅威から守る「アンチウイルス」や「EDR」といったセキュリティソリューションの導入が欠かせません。
MOTEX(エムオーテックス)では、高精度なAIアンチウイルス「LANSCOPE サイバープロテクション」を提供しています。
▼2種類のアンチウイルスソリューション
- 1. アンチウイルス✕EDR✕監視サービスをセットで利用できる「CylanceMDR」
- 2. 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービスをセットで利用可能な「CylanceMDR」
アンチウイルスはEDRと併用することで、エンドポイント内外から保護するため、より強固なエンドポイントセキュリティ体制を確立できます。
※EDR(Endpoint Detection and Response)…エンドポイントにおけるセキュリティイベントをリアルタイムで監視し、早期検出と対応を支援するセキュリティソリューション
しかし、現実には「EDRによるセキュリティ監視が難しい」「リソースが足らず、手が回らない」という声も多く、アンチウイルスとEDRの併用が上手くいっていないケースが少なくありません。
- ・ アンチウイルスとEDRを併用したい
- ・ なるべく安価に両機能を導入したい
- ・ しかし運用面に不安がある
そういった方におすすめしたいのが、アンチウイルスを中心に3つのサービスを提供する「Cylanceシリーズ」です。
- 1. 最新のアンチウイルス「CylancePROTECT」
- 2. EDR「CylanceOPTICS」
- 3. EDRを用いた運用監視サービス「CylanceMDR」
の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
2. 各種ファイル・端末に対策できるNGAV「Deep Instinct」
- ・ 未知のマルウェアも検知したい
- ・ 実行ファイル以外の様々なファイルにも、対応できる製品が良い
- ・ 手頃な価格で「高性能なアンチウイルス」を導入したい
そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」がおすすめです。
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
また1台あたり月額300円(税抜)から利用できる、手ごろな価格設定も魅力です。ぜひ以下の製品ページよりご覧ください。
もしマルウェアに感染したら?インシデント対応パッケージにお任せください
「PCがマルウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。ランサムウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業を行うのが難しい」「攻撃の感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
まとめ
本記事では「脅威インテリジェンス」をテーマに、その概要やメリットなどについて解説しました。
本記事のまとめ
- 脅威インテリジェンスとは、サイバー脅威に関する情報を収集・整理・分析するプロセス、またはそのプロセスから得られる情報のこと
- 脅威インテリジェンスが重要な理由としては、「脅威を予防するため」「セキュリティを強化するため」「迅速な対応を実現するため」などが挙げられる
- 脅威インテリジェンスは、その目的や用途に応じて、「戦術的脅威インテリジェンス」「運用上の脅威インテリジェンス」「戦略的脅威インテリジェンス」「技術的脅威インテリジェンス」の4つに分類される
- 脅威インテリジェンスを活用するメリットとして「既知・未知の脅威にも対応できる」「被害を最小限に抑えられる」「攻撃手法を特定できる」「組織全体のセキュリティを強化できる」などが挙げられる
- 脅威インテリジェンスを効果的に活用するためには、計画・収集・処理・分析・拡散・フィードバックという6つのライフサイクルを回すことが必要不可欠
年々高度化するサイバー攻撃に対抗するためには、脅威インテリジェンスの活用が必要不可欠といえます。効果的に活用するためにも、6つのライフサイクルを回しながら、日々改善していくことが重要ということを覚えておきましょう。
おすすめ記事
