近年、「脅威インテリジェンス:Threat Intelligence」に関連したセキュリティー対策製品やサービスが増えており、組織でこれらを導入する動きが始まっています。脅威インテリジェンスは曖昧な言葉で全容をつかみづらいですが、一言でいうなら「サイバー攻撃の脅威に関する情報を収集し分析して、効果的な対策を打つための活動」となります。

(出所:123RF)

 今回は脅威インテリジェンスが注目されるようになった背景から、組織内での活用がなぜ必要なのか、そして活用することでどのような効果が生まれるのかまでを解説します。

「脅威インテリジェンス」実現のための4つの情報

 情報セキュリティー対策には、守るべき情報資産に関わる「脅威」と「脆弱(ぜいじゃく)性」を洗い出して「リスク」を明確にし、その対策を講じるという基本的な考え方があります。しかし、サイバー攻撃が高度化・複雑化していく中で、脅威や脆弱性の把握が難しくなってきています。脅威や脆弱性を認識し、セキュリティーリスクにつながる危機を検知する必要が高まっています。

 「脅威インテリジェンス」を実現するには、使用する人や場面によって求められる情報が異なります。具体的には、以下の4種類に分類されます。

1. Strategic Intelligence(戦略的インテリジェンス)
経営層向けの情報。セキュリティー投資や組織的施策といったマネジメントやハイレベルな意思決定に使う。

2. Tactics Intelligence(戦術的インテリジェンス)
セキュリティーアーキテクトやシステム管理者向けの情報。TTPs(Tactics, Techniques and Procedures)と呼ばれる攻撃手口(戦術、技術、手順)を把握し、組織が対策を練るために使う。

3. Operational Intelligence(行動的インテリジェンス)
CSIRT(Computer Security Incident Response Team)やセキュリティー担当者向けの情報。組織に影響する可能性が高い攻撃キャンペーンや脅威・脆弱性に関連する状況を特定・検出する。他のインテリジェンスを形成する、基礎的な情報として使う。

4. Technical Intelligence(技術的インテリジェンス)
SOC(Security Operation Center)やインシデント担当者向けの情報。特定の攻撃やマルウエアなどを検知・防御するために、現場レベルで実用的かつ即効性がある情報として使う。主にIoCs(Indicator of Compromise)と呼ばれる攻撃の痕跡を示す情報が基になる。

 脅威インテリジェンスを採り入れる組織は、これらの情報を収集する能力やデータの処理や加工、そして分析をする能力を高めなくてはなりません。

 「インテリジェンス」には、「知性」、「有用な形にまとめられた情報」、「諜報(スパイ活動)」という意味があります。サイバーセキュリティーにおけるインテリジェンスとは、古くから専門家たちの間で「攻撃側の実態や手法の把握など、主にサイバー攻撃の脅威を知るための研究活動」という意味で使われていました。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。