脅威インテリジェンスは、サイバー脅威インテリジェンス(CTI)または脅威インテリジェンスとも呼ばれ、サイバーセキュリティーの脅威に関する詳細で実行可能な情報です。脅威インテリジェンスは、セキュリティー・チームがサイバー攻撃をより早期に検知、軽減、防止するアプローチをとるのに役立ちます。
脅威インテリジェンスは、脅威に関する単なる未加工の情報ではなく、相関分析された情報です。セキュリティー専門家はこうした情報を利用して、組織がさらされている潜在的な脅威に関して、その阻止方法などを詳しく理解できます。
より具体的には、脅威インテリジェンスには、未加工の脅威情報とは異なる次の3つの重要な特性があります。
組織固有: 脅威インテリジェンスは、仮想の脅威や攻撃に関する一般的な情報にとどまりません。代わりに、組織固有の状況、具体的には、組織の攻撃対象領域における特定の脆弱性、これらの脆弱性によって可能になる攻撃、さらには露出される資産に焦点を当てます。
詳細かつ状況に即した情報:脅威インテリジェンスは、組織に対する潜在的な脅威だけを網羅するものではありません。攻撃の背後にいる脅威アクター、彼らが使用する戦術、技術、手順(TTP)、サイバー攻撃の成功を示す可能性のある侵害の指標(IoC)についても網羅します。
実行可能性:脅威インテリジェンスは、情報セキュリティー・チームに、脆弱性への対処、脅威の優先順位付け、リスクの修復、全体的なセキュリティー体制の改善に役立つ洞察を提供します。
IBMの データ侵害のコストに関する調査によると、平均的なデータ侵害で組織に発生するコストは 444万ドルです。このうち検知とエスカレーションのコストが最も大きな割合を占めており、147万ドルにのぼります。
セキュリティー専門家は脅威インテリジェンス・プログラムを通じて、攻撃をより迅速に検知し、一部の攻撃を完全に阻止するのに役立つ情報を取得します。こうした情報を利用することで、対応はよりスピーディーかつ効果的になり、検知コストが削減し、侵入が成功した場合でも大打撃を回避できます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
脅威インテリジェンス・ライフサイクルは、セキュリティー・チームが脅威インテリジェンスを作成して共有する反復的で継続的なプロセスです。詳細は組織によって異なりますが、ほとんどの脅威インテリジェンス・チームは、同じ6段階のプロセスの何らかのバージョンに従います。
セキュリティー・アナリストは、組織の利害関係者と協力してインテリジェンス要件を設定します。利害関係者には、経営幹部、部門長、ITおよびセキュリティー・チームのメンバー、サイバーセキュリティーの意思決定に関与するその他のすべての人が含まれます。
インテリジェンス要件とは、本質的に、利害関係者が脅威インテリジェンスによって解決を求める疑問です。例えば、最高情報セキュリティー責任者(CISO)は、注目度の高い新種のランサムウェアが組織に影響を与える可能性があるかどうかという疑問を持つかもしれません。
セキュリティー・チームは、インテリジェンス要件を満たし、利害関係者の質問に答えるために、未加工の脅威データを収集します。
例えば、セキュリティー・チームが新しいランサムウェアの系統を調査している場合、攻撃の背後にいるランサムウェア・ギャングに関する情報を収集する可能性があります。また、チームは、過去に攻撃の標的となった組織の種類や、以前の被害者を感染させるために悪用された攻撃ベクトルについても調査します。
この脅威データはさまざまなソースから取得されます。最も一般的なソースには次のようなものがあります。
脅威インテリジェンス・フィードとは、リアルタイムの脅威情報のストリームのことです。この名前は誤解されることがあります。一部のフィードには処理または分析された脅威インテリジェンスが含まれていますが、その他のフィードは未加工の脅威データで構成されています(後者は「脅威データ・フィード」と呼ばれることもあります)。
セキュリティー・チームは通常、さまざまな脅威インテリジェンス・サービスによって提供される複数のオープンソース・フィードと商用フィードを購読します。フィードによってカバーされる内容が異なります。
例えば、組織では次の目的ごとに個別のフィードを持つことができます。
一般的な攻撃のIoCの追跡
サイバーセキュリティーに関するニュースの集約
新しいマルウェア株について詳細な分析を提供
ソーシャル・メディアやダークウェブをスクレイピングし、新たなサイバー脅威についての会話を収集
情報共有コミュニティーとは、アナリストが直接の経験、洞察、脅威データ、その他の情報を相互に共有するフォーラム、専門家団体、その他のコミュニティーです。
米国では、ヘルスケアや金融サービス、石油・ガス産業などの多くの重要インフラ部門が、業界固有の情報共有・分析センター(ISAC)を運営しています。こうしたISACは、全米ISAC協議会(NSI)を通じて相互に調整を図っています。
国際的には、オープンソースのMISP脅威共有インテリジェンス・プラットフォームが、場所や業界、トピックのタイプ別に結成された複数の情報共有コミュニティーをサポートしています。MISPは、NATOと欧州連合の両方から経済的支援を受けています。
内部セキュリティー・ソリューションと脅威検知システムから得られるデータは、実際のサイバー脅威と潜在的なサイバー脅威に関する貴重な洞察を提供します。内部セキュリティー・ログの一般的なソースには、次のものがあります。
拡張検知および対応(XDR)プラットフォーム
攻撃対象領域管理(ASM)ソリューション
内部セキュリティー・ログは、組織が直面した脅威やサイバー攻撃の記録を提供し、これまで認識されていなかった内部または外部の脅威の証拠を発見するのに役立ちます。
ここれらの異なるソースからの情報は管理と自動処理がしやすいように、通常、SIEMや専用の脅威インテリジェンス・プラットフォームなどの集中ダッシュボードに集約されます。
この段階では、セキュリティー・アナリストは収集した未加工データを集約・標準化・関連付けして分析しやすくします。この処理には、MITRE ATT&CKまたは別の脅威インテリジェンス・フレームワークを適用して、データをコンテキスト化することや、誤検知を除外すること、類似のインシデントをグループ化することが含まれる場合があります。
多くの脅威インテリジェンス・ツールでは、複数のソースからの脅威情報を関連付け、データ内の初期の傾向やパターンを特定するために人工知能(AI)と機械学習を使用してこうした処理を自動化しています。一部の脅威インテリジェンス・プラットフォームには、脅威データを解釈し、その分析に基づいてアクション・ステップを生成するのに役立つ生成AIモデルが組み込まれています。
分析は、未加工の脅威データが真の脅威インテリジェンスになるポイントです。この段階で、セキュリティー・アナリストはインテリジェンス要件を満たすために必要な洞察を抽出し、次のステップを計画します。
例えば、セキュリティー・アナリストは、新しいランサムウェア株に関連したギャングが、その組織の業界の他の企業を標的にしていることに気付くかもしれません。この発見は、このランサムウェア株が組織にとっても問題になる可能性があることを示しています。
この情報を活用することで、チームは、ギャングが悪用する可能性のある組織のITインフラストラクチャーの脆弱性と、それらの脆弱性を軽減するために使用できるセキュリティー管理を特定できます。
セキュリティー・チームは、その洞察と推奨事項を適切な利害関係者と共有します。これらの推奨事項に基づいて、新たに特定された脅威インジケーターをターゲットとする新しいSIEM検知ルールを確立したり、疑わしいIPアドレスやドメイン名をブロックするようにファイアウォールを更新したりするなどのアクションを実行できます。
多くの脅威インテリジェンス・ツールは、SOAR、XDR、脆弱性管理システムなどのセキュリティー・ツールとデータを統合して共有します。これらのツールは、脅威インテリジェンスを使用して、アクティブな攻撃に対するアラートを自動的に生成し、脅威に優先順位を付けるためにリスク・スコアを割り当て、他の対応アクションをトリガーできます。
この段階では、利害関係者とアナリストが最新の脅威インテリジェンス・サイクルを振り返り、要件が満たされているかどうかを判断します。浮上した新たな疑問や特定された新たなインテリジェンス・ギャップは、ライフサイクルの次のラウンドに伝達されます。
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
セキュリティー・チームは、目的に応じてさまざまな種類のインテリジェンスを作成し、使用します。脅威インテリジェンスの種類は次のとおりです。
戦術的脅威インテリジェンスは、セキュリティー・オペレーション・センター(SOC)が将来の攻撃を予測し、進行中の攻撃をより正確に検知するのに役立ちます。
この脅威インテリジェンスは通常、一般的なIoCの特定に利用されます。コマンド・アンド・コントロール・サーバーに関連付けられたIPアドレス、既知のマルウェア攻撃のファイル・ハッシュ、フィッシング攻撃で使用するEメールの件名などが主なIoCとして挙げられます。
戦術的脅威インテリジェンスは、インシデント対応チームが攻撃を阻止するのに役立つだけでなく、脅威ハンティング・チームが高度な持続的脅威(APT)や身元を伏せて積極的に活動する他の攻撃者の追跡にも使用されます。
運用上の脅威インテリジェンスは、戦術上の脅威インテリジェンスよりも広範かつ技術的であり、主に脅威アクターのTTPと行動(使用する攻撃ベクトル、悪用する脆弱性、標的とする資産、その他の明確な特性)を理解するために利用されます。
情報セキュリティーの意思決定者は、運用上の脅威インテリジェンスを使用して、組織を攻撃する可能性のある脅威アクターを特定し、その攻撃を効果的に阻止できるセキュリティー制御と緩和戦略を決定します。
戦略的脅威インテリジェンスは、脅威の世界的状況と、その中での組織の位置づけに関する大局的な視点に基づくインテリジェンスです。CEOをはじめとする経営幹部など、IT部門以外の意思決定者はこの情報によって組織が直面しているサイバー脅威を理解できるようになります。
戦略的脅威インテリジェンスは通常、地政学的状況、特定の業界におけるサイバー脅威の傾向、組織の戦略的資産が標的にされる可能性とその理由などの問題に焦点を当てています。利害関係者は、戦略的脅威インテリジェンスを使用して、サイバー脅威の状況に合わせて、組織のより広範なリスク管理戦略と投資を調整します。