脅威インテリジェンスとは?

サイバー脅威インテリジェンス (CTI) とも呼ばれる脅威インテリジェンスは、ランサムウェアなどの既存または新たなサイバーセキュリティ脅威に関するキュレーションされたデータのことです。サイバー脅威インテリジェンスは複数のソースから収集したセキュリティや脅威に関連するデータの集約と分析に基づいて、デジタルインフラストラクチャやアプリケーションに対する実際に発生した、または潜在的に発生する可能性のある脅威に関する情報を提供します。サイバーセキュリティチームは、証拠とさらなるデータインサイトを活用できる力を手に入れることで、脅威インテリジェンスの情報を効果的に活用し、状況に応じてではなく先回りして潜在的な脅威に備え、予防し、進行中の脅威を迅速に検知して対応することができます。

脅威インテリジェンスは、組織のサイバーレジリエンスの強化に注力する最新のサイバーセキュリティ戦略における重要な柱です。SANS 2023 CTI Surveyでは、回答者の半数以上 (51%) が、所属組織に正式な専門の脅威インテリジェンスチームがあると回答しています。

なぜ脅威インテリジェンスが重要なのか?

脅威インテリジェンスが重要なのは、組織がデータ保護に関連して、互いに関連する以下の3つの重要課題を抱えているためです:

• ランサムウェア、データ窃取、二重恐喝、DoS、フィッシング、その他のスキームなど、世界中の組織が直面するサイバー攻撃の数と種類が急激に増加し続けていること
• ハードウェアやソフトウェアのIT担当者が監視しセキュリティを確保しなければならない、企業の攻撃対象領域が広がっていること
• 悪意ある行為者が悪用する新たな脆弱性や標的となる新たな組織を特定するにつれ、デジタルビジネスに対する脅威が急速に進化していること

個人や集団のサイバー犯罪者や国家は金銭を要求したり政治的な混乱を引き起こしたりするチャンスを狙っているため、組織は、収益、ブランドの評判、経営能力を守るデータセキュリティポスチャ管理 (DSPM) と脅威インテリジェンス機能を強化し続ける必要があります。

脅威インテリジェンスがあれば、企業は脅威の傾向、脅威者の行動、技術、動機、能力を理解し、悪意ある行為者に対する備えを強化できるようになります。経営陣が、潜在的な脅威、新たな脅威、継続中の脅威に対するリアルタイムまたはリアルタイムに近い可視性を得ると、機密データと知的財産 (IP) の保護に関する意思決定や行動を加速させることができます。

脅威インテリジェンスの種類とは?

脅威インテリジェンスは成熟度によって、戦術的インテリジェンス、運用インテリジェンス、戦略的インテリジェンスという3つの主要カテゴリーに分類されます。

戦術的インテリジェンス: 基礎となる戦術的脅威インテリジェンスは、脅威がどのように実行され、防御されるのかを重視する際に役立ちます。多くの場合、不正IPアドレス、既知の悪意あるドメイン名、フィッシング攻撃に関連するメールの件名など、簡単な侵害指標 (IOC) のみを特定します。この種の情報はオンラインで (無料のデータフィードでも) 見つけることができますが、このようなIOCは数時間または数日のうちに消えてしまうことが多いため、短期間のみ有効です。戦術的脅威インテリジェンスでは通常、インシデント対応、セキュリティオペレーションセンター (SOC)、脅威ハンティングの3つのセキュリティチームを設置します。インシデント対応チームはサイバー脅威インテリジェンスを使って真の攻撃と誤検知を区別する一方で、SOCは活動中および進行中の脅威を検知し対応します。脅威ハンティングチームは、APT (Advanced Persistent Threat) やその他の隠蔽された攻撃種を特定するために脅威インテリジェンスを活用します。

運用インテリジェンス: より高度な運用脅威インテリジェンスでは、動機、使用される攻撃ベクトル、悪用されやすい脆弱性など、攻撃や悪意ある行為者の技術的な側面を調べることができます。計画された攻撃の性質やタイミングに関するインサイトも得られます。運用脅威インテリジェンスはこのような背景情報を提供することで、セキュリティのリーダーや意思決定者が最も発生しそうな脅威を特定し、特定の攻撃を阻止するためのセキュリティ対策を講じられるようにします。また、SOCのサイバーセキュリティ担当者が、脆弱性、脅威モニタリング、インシデント対応の管理を強化できるようにもなります。戦術的脅威インテリジェンスは、多くの場合機械学習と人工知能 (AI/ML) の技術を使って機械で生成することができますが、運用脅威インテリジェンスには人による分析が必要です。このアプローチの一環として、アナリストはデータ分類を使い、攻撃者の戦術、技術、手順 (TTP) を整理し評価します。脅威者がTTPを変えるのは悪意あるドメイン名を変えるほど簡単なことではないため、運用脅威インテリジェンスは戦術的脅威インテリジェンスよりも長期間有効です。

戦略的インテリジェンス: 最も高度な戦略的インテリジェンスは、組織がグローバルな脅威環境における自らの立ち位置を把握するのを支援します。具体的に言うと戦略的インテリジェンスは、現在の世界的な出来事、外交政策、業界の動向、その他広い範囲の影響に基づいて、組織の潜在的なサイバーセキュリティリスクに関する状況を提供する、非技術的なアプローチのことです。これを理解することでITかIT以外のリーダーかを問わず、サイバーセキュリティとリスク管理への投資で戦略的に協力することができます。このような高度な複雑さと微妙な差異が原因で、戦略的インテリジェンスは最も生成が難しい脅威インテリジェンスとなっています。アナリストがタイミング良く、有意義でアクション可能なレポートを作成するためには、世界のサイバーセキュリティ状況や地政学をよく理解しなければなりません。

脅威インテリジェンスと脅威ハンティングの違いとは?

脅威インテリジェンスでは、潜在的なサイバー脅威と現在のサイバー脅威に関するデータの収集、分析、活用を行います。その主な目標は、組織の防御体制を高めるために、攻撃者の戦術、技術、手順 (TTP) に関するアクション可能なインサイトを提供することです。

脅威ハンティングは、組織のネットワーク内で侵害や脆弱性の兆候を積極的に探す、プロアクティブなアプローチです。従来の検知方法とは異なり、既知の脅威やセキュリティシステムからのアラートだけに頼るわけではありません。

脅威インテリジェンスから得たインサイトは組織が潜在的な攻撃に備えられるよう導くのに対し、脅威ハンティングの目標は、APTや独自のマルウェアが被害を及ぼす前にこれらを検知することで、侵害から発見までの時間を短縮することです。

脅威インテリジェンスの潜在的な欠点とは?

企業で脅威インテリジェンスを運用できるようにすることは、以下のような理由で難しい場合があります:

• よく使うツールへのアクセスや、ツール間の連携不足: 多くの場合、セキュリティ担当者が、自社環境のすべての脅威インテリジェンスフィードに対応しきれなくなります。また、多数の誤検知や無関係のアラートの中に、真の脅威が埋もれてしまうことがあります。セキュリティ担当者が最も重要なデータをフィルタリングできたとしても、緊急性の低いものより深刻な脅威を優先するのに苦労する場合があります。サイバー脅威インテリジェンスフィードを最もよく使用するデータ管理セキュリティツールに統合し、脅威の優先順位を組織の脅威プロファイルと合わせることで、状況が一変し、混沌としたアラートに対応できるようになります。
• 無料やオープンソースのフィードのみに依存: オープンソースや無料の脅威インテリジェンスフィードは本質的に範囲が広いことが多いため、脅威ハンターが多方面の対応に追われてしまうことがあります。企業は、適切な脅威インテリジェンスフィードと、AI/MLを含む最適なテクノロジー、プロセス、戦略に長けた人材の確保を優先する必要があります。

脅威インテリジェンスのライフサイクルとは?

脅威インテリジェンスのライフサイクルとは、組織が脅威インテリジェンスを効果的に管理し活用するために用いる、構造化された枠組みのことです。チームが潜在的な脅威に関する情報を収集、分析、配布できるよう導く、相互に関連する6つの段階で構成されています。この循環プロセスは、組織が進化する脅威に適応し、サイバーセキュリティ体制を強化するのに役立ちます。以下は、その6つの段階です:

1. 計画と方針
この初期段階では、脅威インテリジェンスプログラムの目標と範囲を定義します。組織は、リスク許容度の評価、保護対象となる重要アセットの特定、業界や脅威の状況に基づいた特定のインテリジェンスに対するニーズの判断を行います。

2. データ収集
この段階では、オープンソースインテリジェンス (OSINT)、ディープウェブとダークウェブのリソース、内部ログ、脅威インテリジェンスプラットフォームなど、さまざまなソースから関連データを収集します。その目的は、潜在的な脅威に関する総合的な情報をまとめることです。

3. 処理
収集したデータから無関係の情報を取り除き、分析のために構造化する処理を行います。この手順では、データクリーニング、重複排除、コンテキストの追加によるデータの強化を行う場合があります。

4. 分析
パターン、傾向、潜在的な脅威を特定するため、処理されたデータをアナリストが調べます。この段階では、データマイニングや機械学習などのさまざまな分析手法を使い、未加工のデータをアクション可能なインテリジェンスに変換します。

5. 配布
分析したインテリジェンスを、適時関連するステークホルダーに共有します。効果的な配布により、意思決定者は、セキュリティ対策やインシデント対応に関するアクション可能なインサイトを受け取ることができます。

6. フィードバックと改善
この最終段階では、ステークホルダーからのフィードバックを収集し、提供した脅威インテリジェンスの有効性を評価します。ここで得たインサイトによってライフサイクルプロセス全体が洗練され、脅威の特定と対応戦略が継続的に強化されるようになります。

脅威インテリジェンスのライフサイクルは、潜在的なサイバー脅威を先回りして検知し対応する組織の能力を高めます。この体系的なアプローチに従うことで、脆弱性に対する理解を深め、リソースを効果的に分配し、全体的なサイバーセキュリティ防衛の強化することができます。

Cohesityと脅威インテリジェンス

不正な手口を使うランサムウェアなどのサイバー攻撃に直面する組織は、脅威を検知して、機密データの流出による影響を分析し、データをセキュアに隔離できるようにしながら、既に信頼しているセキュリティ運用慣行やソリューションとシームレスに連携するソリューションを必要としています。

サイバー脅威インテリジェンスの強化を目指す組織は、以下の目的でCohesity DataHawkを利用することができます:

• AI/MLを活用した、新たな脅威を示す可能性のあるユーザーやデータの異常検知
• マルウェアのない復旧データの確保
• 攻撃が発生した際に機密情報や個人情報の流出を判断するためのデータ分類
• 復旧データを守る追加のセキュリティレイヤーを提供する、ポイント & クリック形式のデータ隔離

組織はバックアップスナップショットに潜む脅威を特定することで、再感染リスクを抑えつつ復旧対応の効率化を図ることができます。DataHawkは組織のセキュリティ運用、既存のインシデント対応や是正プロセスと統合できるため、デプロイや利用がよりシンプルになります。

Cohesityの脅威ハンティングはAI/MLを活用した脅威検知を活用し、最新のランサムウェア亜種やその他のサイバー攻撃を特定します。特定の脅威を探すため、カスタマイズのYARAルールを作成したり既存のYARAルールをインポートしたりすることができます。