サイバー脅威インテリジェンスとは？

脅威インテリジェンスは、サイバー脅威を特定して分析するプロセスです。「脅威インテリジェンス」という用語は、潜在的な脅威について収集されたデータ、または脅威をより理解するためにそのデータを収集、処理、分析するプロセスを指します。脅威インテリジェンスには、データを選別し、状況に応じてデータを調べて問題を特定し、見つかった問題に固有のソリューションを展開することが含まれます。

デジタルテクノロジーのおかげで、今日の世界はかつてないほど相互接続されています。しかし、接続が増えることで、セキュリティ侵害、データ盗難、マルウェアなどのサイバー攻撃のリスクも高まっています。サイバーセキュリティの重要な側面は脅威インテリジェンスです。読み進めて、脅威インテリジェンスとは何か、なぜそれが不可欠なのか、そしてそれをどのように適用するのかを学んでください。

脅威インテリジェンスとは？

脅威インテリジェンスの定義は、サイバーセキュリティ関連の他の用語と混同して使われることがよくあります。「脅威データ」と「脅威インテリジェンス」が混在されることが非常に多くありますが、この 2 つは同じではありません。

脅威データは、考えられる脅威のリストです。
脅威インテリジェンスは、データとより広範なコンテキストを調査して、意思決定の際に情報を提供するナラティブを構築することで、より大局的に物事を捉えます。

本質的に、組織は脅威インテリジェンスのおかげで、より迅速に情報に基づいたセキュリティ上の決定を下すことができます。サイバー攻撃との戦いにおいて、後から反応するのではなく、事前に行動するよう促します。

脅威インテリジェンスが重要な理由

脅威インテリジェンスは、サイバーセキュリティのエコシステムに欠かせないパーツです。サイバー脅威インテリジェンスプログラム（CTI ともいう）を利用すれば、以下のようなことを実現できます。

データ損失の防止：適切に構成された CTI プログラムを使用すると、組織はサイバー脅威を発見し、データ侵害による機密情報の公開を防ぐことができます。
安全対策の方向性を提供する：脅威を特定して分析することにより、CTI はハッカーが使用するパターンを特定し、組織が将来の攻撃から保護するためのセキュリティ対策を実施するのを支援します。
他の人に知らせる：ハッカーの手口は日々巧妙化しています。ハッカーのスキルに追いつくため、サイバーセキュリティの専門家は彼らのコミュニティ内の他の人に戦術を共有し、サイバー犯罪を阻止するための共同ナレッジベースを形成しています。

脅威インテリジェンスの種類

サイバーセキュリティ脅威インテリジェンスは、よく戦略、戦術、運用の 3 つのカテゴリに分類されます。これらを順番に見てみましょう。

戦略的脅威インテリジェンス：

通常、これは、技術者以外の対象者（たとえば、会社や組織の取締役会など）向けに設計された高レベルの分析です。多様なビジネス上の意思決定に影響を与える可能性のあるサイバーセキュリティのトピックをカバーし、全体的な傾向と動機を調べます。多くの場合、戦略的脅威インテリジェンスは、メディアレポート、ホワイトペーパー、調査などのオープンソースに基づいています。つまり、誰でもアクセスすることができます。

戦術的脅威インテリジェンス：

これは近い将来に焦点を合わせており、より技術的に熟練した対象者のために設計されています。IT チームがネットワーク内の特定の脅威を検索して排除できるように、シンプルな侵入の痕跡 (IOC) を特定します。IOC には、不正な IPアドレス、既知の悪意のあるドメイン名、異常なトラフィック、ログインにおける危険信号、ファイル/ダウンロード要求の増加などの要素が含まれます。戦術的インテリジェンスは、生成が最も簡単なインテリジェンスの形式であり、通常は自動化されています。多くの IOC はすぐに古くなるため、寿命が短くなる可能性が多くあります。

運用上の脅威インテリジェンス：

すべてのサイバー攻撃の背景では、「誰が？」、「なぜ？」、「どのうように？」といった疑問が生じます。運用上の脅威インテリジェンスは、過去のサイバー攻撃を調査して、意図、タイミング、および高度化について結論を出すことにより、これらの質問に答えるように設計されています。運用上の脅威インテリジェンスは、戦術的なインテリジェンスよりも多くのリソースを必要とし、寿命もより長くなっています。これは、サイバー攻撃者が特定の種類のマルウェアなどのツールを変更するほど簡単に戦術、技術、手順（TTP と呼ばれる）を変更できないためです。

サイバー脅威インテリジェンスのライフサイクル

サイバーセキュリティの専門家は、脅威インテリジェンスに関連するライフサイクルの概念を使用しています。サイバー脅威のライフサイクルの典型的な例には、方向付け、収集、処理、分析、拡散、フィードバックの各段階が含まれます。

フェーズ 1：方向付け

このフェーズでは、脅威インテリジェンスプログラムの目標を設定します。これには、以下のようなものが含まれます。

組織のどの側面を保護する必要があるかについての理解と、潜在的な優先順位の作成
組織が資産を保護し、脅威に対応するために必要な脅威インテリジェンスの特定
サイバー侵害の組織への影響についての理解

フェーズ 2：収集

このフェーズでは、フェーズ 1 で設定した目標と目的をサポートするためのデータを収集します。重大な脅威イベントを見逃したり、誤検知に惑わされたりしないようにするには、データの量と質の両方が重要です。このフェーズでは、組織はデータソースを特定する必要があります。これには次のものが含まれます。

内部ネットワークおよびセキュリティデバイスからのメタデータ
信頼できるサイバーセキュリティ組織からの脅威データフィード
情報に通じた利害関係者へのインタビュー
オープンソースのニュースサイトとブログ

フェーズ 3：処理

収集されたすべてのデータは、組織が使用できる形式に変換する必要があります。さまざまな収集方法を用いた場合、さまざまな処理手段が必要になります。たとえば、人をインタビューして得たデータについては、事実を確認し、他のデータと照合する必要がある場合があります。

フェーズ 4：分析

利用できる形式にデータが処理されたら、そのデータを分析する必要があります。分析は、組織の意思決定を導けるインテリジェンスに情報を変えるプロセスです。これらの決定には、セキュリティリソースへの投資を増やすかどうか、特定の脅威または一連の脅威を調査するかどうか、差し迫った脅威をブロックするために実行する必要のあるアクションは何か、必要な脅威インテリジェンスツール何かといったことなど含まれます。

フェーズ 5：拡散

分析が実行されたら、主要な推奨事項と結論を組織内の関連する利害関係者に広める必要があります。組織内においてチームが異なれば、そのチームのニーズも異なります。インテリジェンスを効果的に広めるには、各対象者が必要とするインテリジェンス、形式、頻度を尋ねる価値があります。

フェーズ 6：フィードバック

利害関係者からのフィードバックは、脅威インテリジェンスプログラムの改善に役立ち、各グループの要件と目的を確実に反映します。

「ライフサイクル」という用語は、脅威インテリジェンスが直線的な 1 回限りのプロセスではないという事実を浮き彫りにします。むしろそれは、組織が継続的な改善のために使用する循環的で反復的なプロセスです。

脅威インテリジェンスの恩恵を受けるのは誰か？

セキュリティに関心のある人は誰でも、脅威インテリジェンスの恩恵を受けます。特に事業を運営している場合に受けられる恩恵には次のようなものがあります。

リスクの軽減

ハッカーは常に、エンタープライズネットワークに侵入するための新しい方法を探しています。サイバー脅威インテリジェンスにより、新たな脆弱性が発生したときに、企業はそれを特定できるため、データの損失や日常業務の中断のリスクが軽減されます。

データ侵害を回避

包括的なサイバー脅威インテリジェンスシステムは、データ侵害を回避するのに役立つはずです。これは、組織のシステムと通信しようとしている疑わしいドメインまたは IP アドレスを監視することによって行われます。優れた CTI システムは、疑わしい IP アドレス（データを盗む可能性がある）をネットワークからブロックします。CTI システムが導入されていないと、ハッカーはネットワークを偽のトラフィックで溢れさせ、分散型サービス拒否 (DDoS) 攻撃を実行する可能性があります。

コストの削減

データ漏えいは高くつきます。2021年、データ漏えいに関してかかったコストの世界な平均は 424 万ドルでした（額はセクターによって異なりますが、最も高くついたのは医療機関です）。これらのコストには、法定費用や罰金などの要素に加えて、インシデント後の回復費用が含まれます。データ侵害のリスクを軽減することで、サイバー脅威インテリジェンスにより、コストが削減されます。

基本的に、脅威インテリジェンスによる調査は、組織がサイバーリスクと、それらのリスクを軽減するために必要な手順を理解するのに役立ちます。

脅威インテリジェンスプログラムの検討材料

脅威を管理するには、企業の資産全体を把握する必要があります。それには、アクティビティを監視して、問題を特定し、組織の保護に関する意思決定に必要なデータを提供できるプログラムが必要です。以下に挙げるものが脅威インテリジェンスプログラムの検討材料です。

脅威管理のカスタマイズ

貴社のシステムにアクセスして、脆弱性を発見し、防御策を提案して、24 時間 365 日体制でシステムを監視する企業を探しましょう。多くのサイバーセキュリティシステムは上記のことを実行すると主張していますが、特定のニーズに合わせてソリューションを調整できるシステムを探す必要があります。サイバーセキュリティには、すべてを満たす万能なソリューションはありません。汎用型のソリューションを売り込もうとする企業は避けた方がよいでしょう。

脅威データフィード

拒否リストに載っている Web サイトや注意すべき悪意のある攻撃者に関する最新のフィードを見つけましょう。

調査へのアクセス

ハッカーがどのように侵入し、何をどのような方法で盗もうとしたのかを説明し、最新の調査結果を確認させてくれる企業を見つけましょう。このような情報を武器とすれば、企業は、より的確な判断を下すことができます。

現実的なソリューション

サイバー脅威インテリジェンスプログラムは、企業が攻撃を特定し、リスクを軽減するのに役立つはずです。プログラムは包括的である必要があります。たとえば、潜在的な問題を特定するだけで解決策を提供しないプログラムは必要ありません。

絶えず脅威が拡大し続ける状況では、サイバー脅威は組織に重大な事態をもたらす可能性があります。しかし、堅牢なサイバー脅威インテリジェンスを使用すると、評判への損害や経済的損害を引き起こす可能性のあるリスクを軽減できます。サイバー攻撃に先んじるには、カスペルスキーの脅威インテリジェンスポータルへのデモアクセスをリクエストし、それが組織にもたらす恩恵は何か調査を始めてください。