/ 脅威インテリジェンスとは
脅威インテリジェンスとは
脅威インテリジェンスが重要な理由
脅威が拡大と進化を続けるなか、脅威インテリジェンスは潜在的な脅威に対する理解や対応を支援し、組織のユーザー、データ、評判の保護において重要な役割を果たします。新たな脅威および脆弱性に関連するIOCやTTPを把握することで、セキュリティ アラートをさまざまな要素との関係性の中で理解できるようになり、深刻度の高い脅威への対応を優先して、攻撃の被害を防ぐことができます。
脅威インテリジェンスは、リスクの詳細な定量化にも役立ち、GDPR、HIPAA、SEC規則など規制への準拠、こうした規制に伴って必要となる評価やレポート作成に活用できます。さらに、法執行機関やその他の脅威ハンターにとっては、攻撃の無力化や攻撃者の追跡を行うための強力なツールとなり、デジタル環境をすべての人々にとってより安全な場所にするために活用されています。
脅威インテリジェンスには、さまざまなタイプのデータ(ネットワーク テレメトリー、エンドポイント ログ、マルウェア シグネチャー、サンプルなど)やデータ ソース(組織独自の生データ、脅威データ フィード、人間のインテリジェンス チーム、ダークWebフォーラムなど)が活用されます。
脅威インテリジェンスによって実現すること
適切なツールや専門知識があれば、このデータを集約、分析、関連付けることでインサイトを得て、次のようなことが可能になります。
- 既知および新規の脅威と脆弱性の特定:ユーザー、データ、インフラストラクチャーにとってリスクとなる要因を検出できます。
- 深刻度や関連性に基づくリスクの優先順位付け:組織にとって重要なリスクに優先的に対応できるようになります。
- プロアクティブな防御に重点を置いたセキュリティ対策の改善:新たな脅威に関する警告サインに基づく対策を取れます。
- インシデント対応、修復、復旧の迅速化:スピーディーな対応により、侵害の影響を軽減できます。
- 行動パターンやその他のIOCコンテキストの把握:脅威アクターとその動機の特定に役立ちます。
- コンプライアンスの強化:罰金や法的措置を科されることのないよう組織を守ります。
脅威インテリジェンスのタイプ
脅威インテリジェンスには異なるタイプが存在し、それぞれ異なるセキュリティ上の判断に役立ちます。大まかに言えば、使用方法によって以下のように分類できます。
- 戦略的脅威インテリジェンスは、脅威の状況や脅威アクターの動機および能力に関する俯瞰的な情報を提供するものです。セキュリティ プログラムやセキュリティ上の支出に関する長期的な意思決定に役立ちます。例:自社の属する業界を標的とした国家アクターに関するデータ。
- 戦術的脅威インテリジェンスは、特定の攻撃ベクトル、IOC、TTPなどに関するインサイトを提供するものです。インシデント対応チームやセキュリティ部門が現在の脅威や進行中の攻撃を特定、軽減するのに役立ちます。例:フィッシングによって拡散するマルウェアの新たな亜種のファイル ハッシュ。
- オペレーショナル脅威インテリジェンスは、セキュリティ オペレーション センター(SOC)による日常的なリスク(活動中の脅威、脆弱性、進行中の攻撃)の把握を支援するものです。リアルタイムでの検出と対応に役立ちます。例:自社に対するDDoS攻撃に関与したIPアドレス。
- 技術的脅威インテリジェンスは、セキュリティ部門がセキュリティ ポリシーやその他の対策を改善し、より効果的な保護を実現するための、脅威に関する詳細な情報を提供するものです。例:特定のソフトウェアの脆弱性のCVEおよびパッチ データ。
また、情報のソースによって、以下のように分類することもできます。
- オープン ソース インテリジェンスは、脅威フィード、ブログ、フォーラム、リポジトリーなどの公開ソースを利用したものです。オープン ソースのインテリジェンスは多くの場合「現場の第一報」であるため、情報源が信頼できるものかどうかを確認することが大切です。
- クローズド ソース インテリジェンスは、非公開情報や機密情報(通常、パートナーやサービス プロバイダーからの情報)を利用したものです。オープン ソース インテリジェンスに比べ極めて詳細な情報が得られるものの、多くの場合、有料製品です。
- ヒューマン インテリジェンスは、インタビュー、尋問、さらには偵察やスパイ活動などを通じて収集される情報を利用するものです。その性質上、関係者から得た最も直接的かつ詳細な情報が含まれている場合が多いものの、入手が難しい場合もあります。
一般的な侵害の痕跡
侵害の痕跡(IOC)は、さまざまなインテリジェンス ソースから収集され、潜在的な侵害の特定と対応につながるエビデンスとして機能し、アナリストがサイバー攻撃の発信元、挙動、影響を分析する際の手がかりとなります。一般的なIOCには以下のようなものがあります。
- 既知の脅威アクターに関連するIPアドレスやドメイン名
- フィッシングやマルウェアの配信に関連するURL
- マルウェアのシグネチャーおよび悪意のあるコードのファイル ハッシュ
- フィッシングに関連するメール アドレス
- 保存と永続化のために追加されたレジストリー キー
- 悪意のあるアクティビティーに関連するファイル名およびディレクトリー
- 異常または不正なログイン/アクセスの試行
- ネットワーク トラフィックのパターン異常や急増
- 通常と異なるユーザーまたはシステムの挙動
- データの抜き取りや異常なデータ転送の兆候
- パフォーマンスの低下(例:想定外のCPU使用率やディスク アクティビティー)
- 通常と異なるプロセスまたはサービスの実行
脅威インテリジェンスが役立つ組織や職務
脅威インテリジェンスは、デジタル資産や機密データの保護、事業継続性の確保に携わるほとんどの関係者に役立ちます。次のような組織や分野の関係者は、脅威インテリジェンスを活用することで価値あるコンテキストを入手し、セキュリティ対策を強化できます。
- さまざまな業界のあらゆる規模の組織:脅威インテリジェンスによって、セキュリティ部門は、防御を強化するための実用的なインサイトを得られます。このインサイトは、セキュリティ投資、リスク管理、コンプライアンスに関する経営幹部、取締役などの意思決定者の判断に役立ちます。
- 政府機関および法執行機関:重要インフラ、公共の安全、国家の安全保障に対する脅威に公共機関が効率的に対応し、阻止するうえで、脅威インテリジェンスは重要な役割を担います。
- サイバーセキュリティ業界およびサイバーセキュリティ コミュニティー:サイバーセキュリティのベンダーや専門家(研究者、アナリスト、倫理的ハッカーなど)は、脅威インテリジェンスを利用することで、より効果的なセキュリティ ソリューションの開発、トレンドの調査、対策の改善などを行い、デジタル エコシステム全体の強化につながるフィードバック ループを構築できます。
サイバー脅威インテリジェンスのライフサイクル
脅威インテリジェンスのライフサイクルは、前述のフィードバック ループを端的にまとめたものです。脅威インテリジェンスを効果的に活用するために、そして、長期的にいっそう効果的な活用を行っていくためには、一連の段階を経る必要があります。脅威インテリジェンスのライフサイクルは、以下の6つの段階に分かれています。
- 方向性の決定:関係者が、脅威インテリジェンス プログラムの目的、優先順位、リソースの割り当て、対象範囲を定義します。
- データ収集:有料またはオープン ソースのインテリジェンス フィード、内部ログ、アナリスト、パートナーなどからデータを収集します。
- 処理:アナリストと自動化ツールが、収集したデータのクリーニングと正規化、ソースの検証、信頼性の確認を行い、分析の準備をします。
- 分析:アナリストとツールが、データのパターン、異常、潜在的な脅威を特定し、データの関連付けを行います。これにより、重大なリスクの優先順位付けと軽減に役立つ実用的なインサイトを生み出します。
- 共有:セキュリティ部門が関係者に報告し、調査結果、アラート、推奨事項を共有します。また、このインテリジェンスをツールとプロセスに組み込み、リアルタイムの脅威の検出、防止、対応を強化します。
- フィードバック:インシデント対応チームからのフィードバックを活用して、インテリジェンス プログラムを継続的に評価および改善する必要があります。定期的なレビューによって、組織の目標や優先順位を、脅威の状況や組織自体の変化に即したものにできます。
利用可能な脅威インテリジェンス ツール
市場には、脅威インテリジェンスの収集、関連付け、分析、応用のためのツールが数多く存在しています。
収集と集約
- 脅威フィード集約ツールは、オープン ソースまたはクローズド ソースのフィードからデータを収集して統合します。
- デセプション テクノロジー(ハニーポットなど)は、攻撃をおびき寄せ、その挙動に関するデータを収集します。
- 脅威インテリジェンス プラットフォーム(TIP)は、複数のソースから得られた脅威インテリジェンス データを収集、整理、共有して、実用的なインサイトを生み出します。
関連付け
- 脅威インテリジェンス フィードは、あらかじめ関連付けを行ったインテリジェンスを提供し、すばやい活用を可能にします。
- セキュリティ情報およびイベント管理(SIEM)システムは、脅威データとネットワーク イベントを関連付けます。
- 広範な検出と対応(XDR)プラットフォームは、さまざまなソース(ネットワーク テレメトリー、エンドポイント イベント、IAM、メール、各種生産性向上ツール)からのデータを関連付けます。
- セキュリティオーケストレーションの自動化と対応 (SOAR)プラットフォームは、関連付けられたインテリジェンスに基づいて対応アクションを自動化します。
分析
- 脅威分析ツール(AIと機械学習を活用したもの)は、データを分析して詳細なパターンや傾向を特定します。
- 脅威インテリジェンス共有プラットフォームは、組織間での分析の連携を促進します。
- サンドボックスは、疑わしいファイルやURLを、隔離された環境で分析および実行します。
実行
- 侵入検知システムおよび侵入防止システム(IDS/IPS)は、脅威データに基づいて悪意のあるアクティビティーをブロックまたは警告します。
- ポリシー管理ツールは、既知の悪意のあるIPアドレス、ドメイン、シグネチャーなどに基づいて、ファイアウォールやプロキシなどのポリシーを更新します。
- エンドポイントでの検知と対応(EDR)ソリューションは、侵害されたエンドポイントを隔離または修復します。
- 脅威ハンティング ツールは、収集されたインテリジェンスに基づき、プロアクティブな脅威ハンティングを支援します。
機械学習による脅威インテリジェンスの改善
機械学習(ML)は、多くの点で脅威インテリジェンスの改善に役立ちます。その原理は、脅威インテリジェンス以外における場合と変わりありません。MLは、人間のオペレーターでは太刀打ちできないスピードと規模で、24時間365日稼働するのです。現在の高度なMLモデルは大規模なデータ セットでトレーニングされており、誤検知率を非常に低く抑えながら、パターン、挙動の異常、関連性、その他の複雑な要素を検出できる極めて優れたツールになっています。
MLツールは、脅威インテリジェンスにおける負担の大きい単調な部分を簡単に処理できるため、アナリストは人間の行動、コンテキスト、動機に関する理解や創造的思考が求められるプロジェクトにより多くの時間を割けるようになります。つまり、MLと人間が補い合うことでより良い成果につながるのです。
脅威インテリジェンスのユース ケース
脅威インテリジェンスは、セキュリティ部門のツールの中でも最も強力かつ汎用性の高いものの一つであり、保護や対応、全体的なセキュリティ態勢の改善に役立ちます。
脅威の検出、防止、対応
セキュリティ部門は、脅威インテリジェンスによって、IOCを活用した悪意のあるアクティビティーの検出、ポリシーの改善、防御の強化を行うことができ、脅威をプロアクティブに特定、軽減できます。また、調査チームや脅威ハンティング チームは、タイムリーかつ正確なデータを得ることで、侵害の兆候、ラテラル ムーブメント、隠れた脅威を特定して、インシデント対応を強化できます。
脆弱性管理およびリスク評価
脅威インテリジェンスを活用することで、リスクに基づく脆弱性パッチの優先順位付けを行ったり、サイバー リスクの全体的な状況に関するインサイトを取得し、新たな脅威の潜在的な影響を測定したりすることができます。また、サードパーティーのベンダーやサプライヤーのセキュリティ態勢を評価およびモニタリングして、サプライチェーンのセキュリティ リスクの理解と軽減に役立てられる点にも大きな価値があります。
脅威インテリジェンスの共有と意思決定
業界間や政府間での協力は、サイバー脅威に先回りで対処するための鍵となります。新たな脅威、戦術、脆弱性に関する情報を共有することで、集団防御が強化されるとともに、関係者がセキュリティと組織の目標のいずれに対しても適切な戦略的決定を行う助けとなります。
脅威インテリジェンスにおけるZscalerの役割
Zscaler ThreatLabzの脅威インテリジェンス チームおよびセキュリティ リサーチ チームは、世界最大のセキュリティ クラウドから得られる500兆のデータ ポイントを分析し、1日あたり90億件の脅威をブロックしています。さらに、最も高度な国家アクターおよびサイバー犯罪脅威アクターとそのTTPを追跡し、新たな攻撃や傾向を発見しています。
ThreatLabzのリサーチ チームは、一般的なアプリケーションに数十のゼロデイ脆弱性を検出し、根本的な問題に対処するために、アプリケーション ベンダーと連携してきました。また、ThreatLabzは、Zscalerクラウドと統合した独自のマルウェア対応自動化プラットフォームを開発し、これによって脅威インテリジェンス指標を特定、抽出して、大きな規模でお客様の保護を実現しています。