< Back to EPP 101

サイバー脅威インテリジェンスとは

7月 12, 2019

脅威インテリジェンスの定義

脅威インテリジェンスとは、攻撃者の動機、標的、攻撃パターンを理解するために組織によって収集、分析されたデータのことです。脅威インテリジェンスにより組織はいっそう迅速で情報に基づいたセキュリティの意思決定ができるようになり、侵害に対する防御を受動的なものからプロアクティブなものに変えることができます。

攻撃者のプロファイル

攻撃者のプロファイル

脅威インテリジェンスの価値はますます高く評価されるようになり、調査によると 72% の企業が今後短期間にインテリジェンスにかける投資を拡大すると回答しています。しかし、価値を認識することと、その価値を享受することの間にはまだ溝があります。

自分自身と攻撃者の両方に対する理解が深まれば、未知の脅威がより明らかになり、セキュリティの優れた意思決定を行なうことができます。

現在のところほとんどの組織は、インテリジェンスによってもたらされるインサイトをフルに活用することなく、既存のネットワーク、IPS、ファイアウォール、SIEM へのインテリジェンスフィードの統合など、最も基本的なユースケースのみにインテリジェンスの取り組みを集中させています。

脅威インテリジェンスの基本的な活用のみにとどまる場合、その組織は自社のセキュリティ姿勢を大きく強化できるはずの真の利点を見落としていることになります。

攻撃者の先を見越し、脅威に備える

Download the 2020 Global Threat Report to uncover trends in attackers’ ever-evolving tactics, techniques, and procedures that our teams observed this past year.

今すぐダウンロード

脅威インテリジェンスの重要性とその理由

攻撃者のラインナップ

攻撃者のラインナップ

サイバーセキュリティの世界では、高度で持続的な脅威(APT)と防御側組織が常に互いの先を越そうと試みています。組織は攻撃者の次の動きを知ることで、事前に防御策を調整し、将来の攻撃に先手を打つことができます。

脅威インテリジェンスが重要な理由として次が挙げられます。

  • 未知のものを明らかにし、より優れたセキュリティへの意思決定を可能にします。
  • 攻撃者の動機と TTP(戦術、技術、手順)を特定することで、サイバーセキュリティにおけるステークホルダーの立場を有利にします。
  • セキュリティ専門家が、攻撃者の意思決定プロセスをより良く理解するのに役立ちます。
  • 取締役、CISO、CIO、CTO などのビジネスステークホルダーによる、目的にかなった投資、リスクの管理、効率化、迅速な意思決定を支援します。

攻撃者のアクティビティの最新情報、サイバー脅威の高まりに関する最新の調査、傾向、インサイトについては、リサーチ/脅威インテリジェンスに関するブログをご覧ください。リサーチ/脅威インテリジェンスに関するブログ

誰にメリットがあるのか

脅威インテリジェンスは、攻撃者に関する深い理解と、インシデントに対する迅速な対応を促し、攻撃者の次の動きに積極的に備えるよう支援する点で、あらゆる形態と規模の組織に利点をもたらします。中小企業では達成することが難しいレベルの保護を実現できるようになります。一方、大規模なセキュリティチームを擁する大企業では、外部の脅威インテリジェンスを活用することでコストと必要なスキルの負担を軽減し、自社のアナリスト業務の効果を高めることができます。

脅威インテリジェンスは上層部から一般メンバーまで、セキュリティチームの全てのメンバーそれぞれに独自の利点をもたらします。

  • Sec/IT アナリスト
  • SOC
  • CSIRT
  • インテリジェンスアナリスト
  • エグゼクティブマネジメント

各ポジションにもたらされる利点と具体的なユースケースは次のとおりです。

役職
利点
Sec/IT アナリスト
脅威の阻止と検知の能力を最適化し防御を強化
SOC
組織にとってのリスクとインパクトに基づきインシデントを優先付け
CSIRT
インシデントの調査、管理、優先付けをスピードアップ
インテリジェンスアナリスト
組織を狙う攻撃者を特定し追跡
エグゼクティブマネジメント
組織が直面するリスクと、リスクがもたらすインパクトに対応するオプションを把握

脅威インテリジェンスのユースケース

Below is a list of use cases by function:

役職
ユースケース
Sec/IT アナリスト
- 脅威インテリジェンス(TI)フィードを他のセキュリティプロダクトと統合

- 悪意のあるIP、URL、ドメイン、ファイルなどをブロック
SOC
- TI を活用してアラートを強化

- インシデントにアラートをリンク

- 新たに展開されたセキュリティコントロールを調整
CSIRT
- インシデントについて、誰が/何を/なぜ/いつ/どのように、といった情報を探す

- 根本原因を分析し、インシデントのスコープを定義
インテリジェンスアナリスト
- 侵入の証拠を広範かつ詳細に確認

- 攻撃者に関するレポートを確認し検知の精度を向上
エグゼクティブマネジメント
- 組織全体にとっての脅威レベルを評価

- セキュリティロードマップを構築

脅威インテリジェンスの 3 つの種類

crowdstrike slide of the 3 areas of threat intelligence

直前のセクションでは、脅威インテリジェンスから得られる、既知の、または潜在的な脅威についての情報の有効性を説明しました。情報には、悪意のあるドメイン名のようにわかりやすいものもあれば、既知の攻撃者の詳細なプロファイルなどのように複雑なものもあります。インテリジェンスには次に挙げる 3 つのレベルがあり、これには成熟度曲線があることにご留意下さい。レベルごとにサイバー脅威インテリジェンス(CTI)のコンテキストと分析は深く洗練されたものになり、利用対象者のニーズに応じるには、よりコストがかかる可能性があります。

  • 戦術的インテリジェンス
  • 運用インテリジェンス
  • 戦略的インテリジェンス

戦術的脅威インテリジェンス

戦術的インテリジェンスは、近い将来に重点を置き、技術的な対処を中心とし、シンプルな IOC(侵害の痕跡)を特定します。IOC とは、不正な IP アドレス、URL、ファイルのハッシュ値、既知の悪意のあるドメイン名などのことです。これは機械可読なデータで、フィードまたは API 連携を通してセキュリティ製品に取り込むことができます。

戦術的インテリジェンスの生成は最も単純で、ほとんどの場合自動化されています。このためオープンソースやフリーフィードでも見つけることができますが、悪意のある IP やドメイン名などの IOC は数日または数時間で無効になるものもあり、多くの場合そのライフスパンは極めて短いと言えます。

インテリジェンスフィードに登録するたけでは膨大なデータが発生するのみで、関連性の高い脅威に絞って整理し、戦略的に分析するのにはほとんど意味を成さないということに注意しなければなりません。また、ソースがタイムリーではない、正確ではないなどの理由で、偽陽性が発生する可能性もあります。

運用脅威インテリジェンス

ポーカーのプレーヤーがお互いの癖を研究し、相手の次の動きを予想しようとするのと同じように、サイバーセキュリティのプロフェッショナルも攻撃者を研究しています。

攻撃の背後には必ず「誰が」、「なぜ」、「どのように」があります。「誰」とはアトリビューションです。「なぜ」は動機または意図と呼ばれます。そして「どのように」は攻撃者が採用する TTP で構成されます。これら複数の要素からコンテキストが生成され、コンテキストからは攻撃者がキャンペーンやオペレーションを計画、実行、続行する方法についてのインサイトが得られます。このインサイトが運用インテリジェンスです。

運用脅威インテリジェンスは機械的に生成することはできません。人間が使いやすいフォーマットにデータを変換するために、人間による分析が必要です。運用インテリジェンスには戦術的インテリジェンスよりも多くのリソースが必要ですが、そのライフスパンはより長期にわたります。各種のマルウェアやインフラストラクチャーなどのツールに比べ、TTP を変えるのは容易ではないからです。

運用インテリジェンスは、SOC(セキュリティ オペレーション センター)や、日々のオペレーションを担うサイバーセキュリティの業務に最も役立ちます。脆弱性管理、インシデント対応、脅威モニタリングなどのサイバーセキュリティの各業務では最も多くの運用インテリジェンスが利用されます。これらの分野がより洗練された形で効果的に機能するには運用インテリジェンスが必要だからです。

オンデマンドのウェブキャスト「The Evolving World of Threat Intelligence(脅威インテリジェンスの進化する世界)」で、人工知能、機械学習、CTI によって実現されるリアルタイムの防御をご覧下さい。Crowdcastを観る

戦略的脅威インテリジェンス

攻撃者は他とは無関係に独立して動いているのではありません。サイバー攻撃はほとんどの場合、より高いレベルの要素との関係の中で行われます。例えば、国家主導による攻撃は通常、地政学的情勢と関連があり、地政学的情勢はリスクにつながっています。また、金銭の獲得を動機とした「Big Game Hunting(大物狙い)」という手法のように、グループによるサイバー犯罪の技術は常に進化を続けています。これを軽視することはできません。

戦略的インテリジェンスは、世界情勢や対外政策、その他の長期的な地域、国際的動向が組織のサイバーセキュリティにどのような影響を及ぼすかを示唆しています。

戦略的インテリジェンスによって、意思決定者はサイバー脅威により組織が直面するリスクを理解することができます。またこの理解をベースに、組織を効果的に保護し、その戦略的優先事項に合ったサイバーセキュリティ投資を行なうことができます。

戦略的インテリジェンスは一般的に最も生成が難しく、人間によるデータの収集と分析を必要とし、サイバーセキュリティと世界の地政学的情勢の両方に対する深い理解が求められます。戦略的インテリジェンスは通常、レポートの形式で作成されます。

2020年 OVERWATCH レポート

2019 年上期に遭遇した攻撃者について当社独自のインサイト提供するOverWatch チームによる 2019 年レポートをご覧ください

今すぐダウンロード

脅威インテリジェンスのライフサイクル

脅威インテリジェンスのライフサイクルとは、生の情報を、意思決定と行動に役立つ、活用できるインテリジェンスの形に変えるプロセスです。リサーチの中では多くの微妙に異なるバージョンのインテリジェンスサイクルがみられることになりますが、ゴールはサイバーセキュリティチームを効果的な脅威インテリジェンスプログラムの構築と実行に導くという一点に定められています。

脅威インテリジェンスの難しさは、常に進化する脅威に対し、ビジネスが迅速に適応して決め手となる行動を取る必要があるという点にあります。インテリジェンスサイクルは、リソースを最適化し、現代特有の脅威に効果的に対処するためのフレームワークを提供します。インテリジェンスサイクルは、継続的改善を促すフィードバックループにつながる 6 つのステップで構成されています。

さっそく 6 つのステップを見てみましょう。

1.要件

このステージは、具体的な脅威インテリジェンスの運用サイクルにロードマップを定める段階として、脅威インテリジェンスのライフサイクルにとって極めて重要です。ここで行われる計画では、関係するステークホルダーの要求に基づいて、インテリジェンスプログラムの目的と方法論について合意が形成されます。また、以下を特定する準備を始めます。

  • 攻撃者とその動機
  • 攻撃の対象領域
  • 今後の攻撃に対する防衛強化のために取るべき具体的な行動

2.収集

要件が定まると、これらに必要なデータの収集を開始します。目標に応じて、通常はトラフィックログ、一般公開されているソース、関連性のあるフォーラム、ソーシャルメディア、業界または分野の専門家を探します。

3.処理

生のデータは収集後に、分析に適したフォーマットに加工する必要があります。多くの場合、データポイントのスプレッドシートへの整理、ファイルの復号化、国外のソースからの情報の翻訳、データの関連性と信頼性について評価を行います。

4.分析

データセットが処理された後は徹底した分析を行い、要件のフェーズで提起された質問への回答が検討されます。分析フェーズではデータセットを、アクション項目とステークホルダーにとって価値のある提言へと読み解くための作業も行います。

5.配布

配布のフェーズでは、脅威インテリジェンスチームが分析結果を分かりやすいフォーマットに変換し、結果をステークホルダーに提示する必要があります。分析結果の提示は対象者に応じてその方法を考慮します。多くの場合、提言は複雑な専門用語なしに、1 ページのレポートまたは短いスライドに収まるよう簡潔にまとめる必要があります。

6. フィードバック

脅威インテリジェンスのライフサイクルの最終ステージでは、提供されたレポートについてのフィードバックを得て、今後の脅威インテリジェンスの運用サイクルに向けた調整が必要かどうかを判断します。ステークホルダーは、優先事項や、インテリジェンスレポートを受け取る頻度、データの配布や提示方法を変更する場合があります。


この記事はお役に立ちましたか。 当社の EPP 101 ウェビナーシリーズの脅威インテリジェンスもご覧下さい。

ウェブキャストを見る 


脅威インテリジェンス: CrowdStrike のアプローチ

CrowdStrike の脅威インテリジェンスソリューションである Falcon X は、組織がインテリジェンスを簡単に利用し、行動を起こし、インテリジェンスへの投資効果の最大化に貢献します。

脅威インテリジェンスをどう運用に生かすか

脅威インテリジェンスをどう運用に生かすか

組織に合わせた統合型インテリジェンス

Falcon X™ は脅威の調査プロセスを自動化し、エンドポイントで発生した脅威に合わせて特別に作成された実用的なインテリジェンスレポートと、カスタム IOC(侵害の痕跡)を提供します。この自動化によりお客様は、分析の対象とすべき脅威の選別に時間をかけることなく、組織にとって最も関連性の高い脅威の分析を始めることができます。

Falcon X は、世界水準のサイバー脅威調査機関が使うツールをシームレスなソリューションに組み込みむことで調査の自動化を実現しています。統合されたツールには、マルウェア分析、マルウェア検索、CrowdStrike のグローバル IOC(侵害の痕跡)フィードが含まれます。規模やスキルに関わらずどんなチームでも、脅威への理解を深め、より迅速に対応し、攻撃者の次の動きに備えることができるようになります。

脅威インテリジェンスの人的要素

Falcon X Premium のインテリジェンスレポートは CrowdStrike Global Intelligence チームの高い専門性に裏打ちされ、攻撃者グループとの闘いにおいてお客様の組織を強力にサポートするものです。CrowdStrike Intelligence チームは攻撃者分析のパイオニアであり、121 以上の国家主導、サイバー犯罪、ハクティビストのグループを追跡するとともに、これら攻撃者の意図を研究し、ノウハウを分析しています。チームはインテリジェンスアナリスト、セキュリティリサーチャー、文化、言語の専門家で構成され、新たな脅威を明らかにしています。チームが提供する革新的なリサーチは、CrowdStrike のプロアクティブなインテリジェンス提供の能力を高め、お客様のセキュリティ姿勢を大きく改善し、攻撃者の先を行くために役立ちます。

Falcon X の詳細については、下記のリソースをご確認下さい。

Falcon X Platform FALCON X データシート