脅威検知は脅威インテリジェンスと同じ意味で使われることがありますが、この2つは同じ意味ではありません。脅威検知とは、潜在的なセキュリティ問題を発見するためにデータを受動的に監視することです。セキュリティ侵害の前、最中、または後に脅威を発見し、特定することに重点を置いています。脅威は、マルウェアのサンプルに含まれる文字列、異常な部分を介したネットワーク接続、ネットワーク・トラフィックの予期せぬ急増や低下、一時ディレクトリに保存された実行可能ファイルなどです。データ侵害検出ツールは、ユーザー、データ、アプリケーション、ネットワークの動作を分析し、異常なアクティビティを検出します。侵入検知システムは、 脅威検知ツールの 一例です。

概要

サイバー脅威インテリジェンスとは何か？サイバーセキュリティインテリジェンスとも呼ばれる脅威インテリジェンスは、組織のネットワーク、デバイス、アプリケーション、データを標的とした犯罪行為に関する証拠に基づく情報である。これにより、企業は過去、現在、そして将来のサイバー危険性をよりよく理解することができる。これには、情報資産に対する新たな、あるいは既存の危険に関するメカニズム、背景、意味合い、指標、行動指向のアドバイスが含まれる。

脅威インテリジェンス情報は、どのサイバー資産が攻撃の最大のリスクにさらされているか、また攻撃の影響が最も大きいのはどこかを判断する際の指針となる。どのような情報資産を保護すべきか、保護するための最適な手段、最適な緩和手段を知るために必要な知識を企業に提供する。脅威インテリジェンスは、正確で、適切で、実行可能で、タイムリーで、情報に基づいた意思決定に必要なコンテキストを提供します。

概念として、脅威インテリジェンスは理解しやすい。しかし、必要な情報を収集し、それを分析するのはかなり難しい。企業の情報技術を危険にさらしたり、機能不全に陥らせたりする可能性のある膨大な数の脅威に圧倒されそうになることがある。

脅威インテリジェンスが収集するコンテキストには、自社の脆弱性は何か、誰が攻撃しているのか、彼らの動機は何か、彼らの能力は何か、情報資産にどのような損害を与える可能性があるのか、侵害の指標として注意すべきことは何か、などがある。

OpenText™ Core Behavioral Signalsは、インフラ、財務、評判に対する最も強力な脅威に関する情報を提供します。それがあれば、防衛メカニズムを構築し、機能するリスク軽減を設定することができる。

脅威インテリジェンス

脅威インテリジェンスが重要な理由

脅威インテリジェンス・ツールは、複数のソースから既存の脅威や新たな脅威、脅威行為者に関する生のデータを読み取る。データは分析され、自動化されたセキュリティ・ソリューションが使用できるインテリジェンス・フィードやレポートを作成するためにフィルタリングされる。なぜこれが重要なのか？

脅威や攻撃から組織を守るために必要な情報を得る。
悪質な行為者、多様な脆弱性、攻撃手法、ゼロデイ・エクスプロイト、高度な持続的脅威がもたらすリスクについて常に最新の情報を入手すること。
数多くの関係者や接続されていないシステムにまたがる膨大な内外の脅威データを扱うための構造化された方法を維持する。
誤報を避ける。
データ漏洩と、それに伴う金銭的、評判的、コンプライアンス上のコストを最小限に抑える。
最も効果が期待できるセキュリティツールを特定するために必要な知識を習得する。
サイバーセキュリティチームと分析チームは、膨大で未処理、優先順位付けされていない生データを扱う負担を回避しながら、将来の脅威に対してプロアクティブであり続けることができる。
リーダー、ユーザー、利害関係者に、最新の脅威と、その脅威が組織に及ぼす影響について常に情報を提供する。
意思決定者が理解できる文脈をタイムリーに提供する。

脅威インテリジェンスは、ネットワークがワールドワイド・ウェブに接続されているすべての企業にとって重要である。ファイアウォールやその他のセキュリティ・システムは重要だが、企業が情報システムを危険にさらす脅威について常に最新の情報を得る必要性に取って代わるものではない。今日のサイバー攻撃は多種多様で複雑、かつスケーラブルであるため、脅威インテリジェンスが不可欠となっている。

脅威インテリジェンスのライフサイクル

脅威インテリジェンスは、チェックリストによって推進されるエンド・ツー・エンドのプロセスではない。継続的で、循環的で、反復的だ。組織が潜在的な脅威をすべて特定し、無力化する時点はない。

脅威インテリジェンスのライフサイクルは、進化する脅威環境の性質を認識したものである。ひとつの攻撃や危機を回避したからといって、仕事が終わったわけではない。すぐに次のことを考え、予測し、準備しなければならない。今後も新たなギャップや疑問が生まれ、新たなインテリジェンスの必要性が求められるだろう。

脅威インテリジェンスのライフサイクルは以下のステップで構成される。

計画- データ収集の要件を定義する。あなたを正しい方向に導き、実用的な情報を生み出すことを目的とした具体的な質問をする。脅威インテリジェンスの最終消費者を決定する。
収集- 信頼できる情報源から生の脅威データを収集する。ここでの信頼できる情報源としては、システム監査証跡、過去のインシデント、内部リスク報告書、技術的な外部情報源、より広範なインターネットなどが考えられる。
処理- 分析に備えて生データを整理する。冗長な情報、偽陰性、偽陽性の排除を容易にするメタデータタグを配置する。SIEMはこの整理を容易にする。相関ルールを使って、さまざまなユースケースに対応できるようにデータを構造化するのだ。
分析- 分析段階は、脅威インテリジェンスを基本的な情報収集や情報発信と一線を画すものであり、データの意味を理解する場所である。処理された情報に構造化された分析技術を適用し、脅威を定量化する。これにより、ツールやアナリストが侵害の指標を特定するためにスキャンする脅威インテリジェンス・フィードが生成される。侵害の指標としては、不審なIPアドレス、URL、電子メール、電子メールの添付ファイル、レジストリキー、ハッシュなどがある。
拡散- 脅威インテリジェンスは、適切なタイミングで適切な人々に伝達されることで効果を発揮する。事前に定義された社内外のコミュニケーションチャネルを使用して、関係する利害関係者と分析を共有する。対象読者が理解しやすい形式で情報を発信する。それは脅威リストから査読付き報告書まで多岐にわたる。大規模な組織では、脅威の検知とミティゲーションは、複数のチームが関与する集団的な取り組みである。新たな洞察、解決策、機会を発掘するために、全員を常に輪の中に入れておく。
統合- 実行可能な脅威インテリジェンスをワークフロー、インシデント対応プログラム、発券システムに統合します。
教訓- 長期的な教訓とより広範な影響を得るために情報を分析する。ポリシー、手順、プロセス、インフラ、構成に適切な変更を加える。
フィードバック- アクションを確認し、脅威がブロックまたは封じ込められたかどうかを確認します。

サイバーセキュリティの脅威の種類と脅威インテリジェンス

サイバーセキュリティの脅威と脅威インテリジェンスは、ビジネス要件、インテリジェンスの情報源、対象読者に基づいて分類することができます。この観点から、サイバーセキュリティの脅威と脅威インテリジェンスには3つのタイプがある。

戦略的脅威インテリジェンス

これらは大まかな、あるいは長期的な傾向や問題である。戦略的脅威の検討は、C-suite（経営幹部）のような高度で非技術的な聴衆が行うことが多い。戦略的脅威インテリジェンスは、脅威の能力と意図を俯瞰することで、情報に基づいた意思決定と迅速な警告を可能にする。

戦略的脅威情報の情報源としては、ニュースメディア、専門家、非政府組織の政策文書、安全保障白書、調査報告書などがある。

戦術的脅威インテリジェンス

戦術的脅威インテリジェンスは、日々のインテリジェンスイベントやオペレーションを通じて侵害の指標に取り組むことで、脅威行為者の手順、技術、戦術に構造を与える。セキュリティ専門家、システム・アーキテクト、ネットワーク管理者など、より技術的な読者向けのインテリジェンスだ。

戦術的脅威インテリジェンスは、組織がどのような攻撃を受ける可能性があるのか、またそのような攻撃に対する最善の防御策をより深く理解することができる。セキュリティ・ベンダーや企業のサイバー・セキュリティ・コンサルタントからのレポートが、戦術的な脅威インテリジェンスの主な情報源となることが多い。

オペレーショナル・スレット・インテリジェンス

オペレーショナル・スレット・インテリジェンスは、テクニカル・スレット・インテリジェンスとも呼ばれる。非常に専門的で高度な技術だ。特定の攻撃、マルウェア、ツール、キャンペーンを扱う。

運用上の脅威インテリジェンスは、フォレンジック脅威インテリジェンス・レポート、脅威データ・フィード、脅威グループの通信傍受といった形で提供される。これにより、インシデント対応チームは、特定の攻撃のタイミング、性質、意図に関する洞察を得ることができる。

脅威検知とは何か？

脅威検知は脅威インテリジェンスと同じ意味で使われることもあるが、この2つは同じ意味ではない。脅威検知とは、潜在的なセキュリティ問題を発見するためにデータを受動的に監視することである。

セキュリティ侵害の前、最中、または後に脅威を発見し、特定することに重点を置いている。脅威は、マルウェアのサンプルに含まれる文字列、異常な部分を介したネットワーク接続、ネットワーク・トラフィックの予期せぬ急増や低下、一時ディレクトリに保存された実行可能ファイルなどである。

データ漏洩検知ツールは、ユーザー、データ、アプリケーション、ネットワークの動作を分析し、異常なアクティビティを検知する。侵入検知システムは、脅威検知ツールの一例である。

脅威インテリジェンスと脅威検知の連携

脅威検知システムは多くの場合、H-ISACのような幅広いコミュニティから入手した脅威インテリジェンスを使ってネットワーク・トラフィックを検査する。カスタムアラートとイベント通知を展開する。脅威検知ツールは、さまざまなソースからのログを監視し、さまざまな環境に合わせて調整することができる。

そのため、脅威が検出されるとアラートが送信される。通常は人間が介入し、脅威を確認し、何が起こっているかを判断し、適切な行動をとる。

適切な脅威インテリジェンスのための適切なツール

今日の組織は、何百万もの方法で不正アクセスを行い、大混乱を引き起こす可能性のある攻撃者にさらされている。加えて、脅威は常にその規模、複雑さ、巧妙さを増している。つまり、あなたやあなたの組織の最善の努力にもかかわらず、攻撃者が突破してくることを想定しておいた方がいいということだ。適切な物理的および論理的な管理を確立することは、攻撃が成功する可能性を低くする上で大いに役立つ。

脅威インテリジェンスは、タイムリーかつ効果的な脅威の検知と対応に不可欠であり、潜在的なサイバーセキュリティの脅威を理解し、防御するために必要な要素である。潜在的な脅威に対するチームや組織の理解が深まれば深まるほど、機能的な対応策を策定し、優先順位をつけ、脅威を迅速に察知する能力が高まる。

脅威インテリジェンスは、中小企業にとっても大変で時間のかかる作業だ。幸いなことに、市場には数多くの脅威インテリジェンス・ツールが存在する。しかし、すべてが同じように作られているわけではない。サイバーセキュリティ分野のグローバルリーダーとして知られるOpenTextは、有意義で実用的、かつダイナミックな脅威インテリジェンスを迅速に生成するために必要な適切なツールを提供しています。

Resources

SecOps case studies

Security operations blogs