(出所:123RF)
(出所:123RF)

 スレットインテリジェンス(Threat Intelligence、「脅威インテリジェンス」ともいう)は、サイバー攻撃の脅威に関する情報を収集し、それを分析して、効果的な対策を打つための活動のことである。悪意を持つ者からの攻撃が高度化/狡猾化する中で、組織を自衛する目的で導入する動きが始まっている。ただし、実務ではスレットインテリジェンスという言葉は多義的に使われている。前述の活動を指すほか、活動の中で利用する情報や、情報提供サービス、活動を支えるプラットフォームサービスを示す場合がある。「専門家による研究活動で得られた情報」を利用する点は共通しているが、文脈ごとに何を指しているのかには注意が必要だ。

 本記事ではスレットインテリジェンスとは何か、そのメリットとデメリット、スレットインテリジェンスプラットフォームの基本的な機能や料金相場、活用のポイントを、セキュリティに詳しいラックの小笠原 恒雄氏が解説する。併せて、日経クロステックActiveの記事から、代表的な製品や事例などをまとめて紹介する。

初回公開:2022/2/24

目次

1. スレットインテリジェンスとは
2. スレットインテリジェンスを導入するメリットとデメリット
3. スレットインテリジェンスの基本的な機能
4. 代表的なスレットインテリジェンスプラットフォーム
5. スレットインテリジェンスプラットフォームの料金相場
6. スレットインテリジェンスプラットフォームを活用する上でのポイント
7. スレットインテリジェンス関連の事例
8. 注目のスレットインテリジェンス関連サービス
9. スレットインテリジェンス関連の新着記事

*「1. スレットインテリジェンスとは」「2. スレットインテリジェンスを導入するメリットとデメリット」「3. スレットインテリジェンスの基本的な機能」「5. スレットインテリジェンスプラットフォームの料金相場」「6. スレットインテリジェンスプラットフォームを活用する上でのポイント」は小笠原 恒雄氏が執筆

1. スレットインテリジェンスとは

 サイバーセキュリティの専門家たちの間で、古くから「インテリジェンス」という言葉が使われてきた。「攻撃側の実態や手法の把握など、主にサイバー攻撃の脅威を知るための研究活動」という意味である。

 現在は、セキュリティ対策を講じる組織の中で「スレットインテリジェンス」という言葉が身近な存在として受け入れられている。そして多くの組織が、スレットインテリジェンスを通じて得た情報を活用して、セキュリティ対策を強化する活動に取り組んでいる。

(出所:123RF)
(出所:123RF)

 情報セキュリティ対策は、守るべき情報資産に関わる「脅威(社内外に存在する潜在的な危険要因)」と「脆弱性(システムが抱える欠陥や弱点)」を洗い出して「リスク(損害の大きさや発生確率)」を明確にし、その対策を講じるというのが基本的な考え方である。近年サイバー攻撃が高度化・複雑化しているのに伴い、組織が抱える脅威や脆弱性を把握し、リスクを認識して最小化する活動の必要性が高まっている。

 組織はサイバー攻撃に関わる多様な情報を収集し、整理・加工・分析をした上で、具体的な対策や防御を実行する。その意思決定のための情報やプロセスを、「スレットインテリジェンス」として組み込むことが求められている。

スレットインテリジェンスの分類

 スレットインテリジェンスで扱う情報は、利用目的や組織内の役割によって異なる。具体的には、以下の4つに分類される。

(1)Strategic Intelligence(戦略的インテリジェンス)

経営層が使う、セキュリティ投資や組織的施策といったマネジメントやハイレベルな意思決定のための情報

(2)Tactics Intelligence(戦術的インテリジェンス)

セキュリティアーキテクトやシステム管理者が使う、「攻撃手口:TTPs(戦術、技術、手順:Tactics, Techniques and Procedures)」を把握し、組織が対策を練るための情報

(3)Operational Intelligence(行動的インテリジェンス)

CSIRT(Computer Security Incident Response Team)やセキュリティ担当者が使う、組織に影響する可能性が高い攻撃キャンペーン(作戦活動)や脅威・脆弱性に関連する状況を特定・検出するための情報。他のインテリジェンスを形成する基礎情報にもなる

(4)Technical Intelligence(技術的インテリジェンス)

SOC(Security Operation Center)やインシデント担当者が使う、特定の攻撃やマルウエアなどを検知・防御するために、現場レベルで使う実用的かつ即効性がある情報。主に「IoCs(Indicator of Compromise)」と呼ばれる攻撃の痕跡を示す情報が基になる

2. スレットインテリジェンスを導入するメリットとデメリット

 スレットインテリジェンスの導入により、企業にもたらされるメリットとデメリットは以下の通りだ。

スレットインテリジェンスのメリット

(1)検知・防御・対応能力の向上

 サイバー攻撃の検知や防御、そしてリスクへの対応やインシデントが発生した場合の対応などの、能力向上を期待できる。複数の視点を持つスレットインテリジェンスを利用すると、さらなる能力の向上が可能となる。例えば、あるベンダーによるスレットインテリジェンスが反映されているセキュリティ対策製品に、他ベンダーや外部連携組織の別の視点を持つスレットインテリジェンスを加味する、といった具合だ。

(出所:123RF)
(出所:123RF)

(2)セキュリティ体制全体の強化

 検知・防御・対応能力の向上にとどまらず、情報収集やデータ整理・分析・加工、データ蓄積機能や情報共有機能など、セキュリティ機能のさまざまな局面で活用して機能強化につなげられる。このため、セキュリティ体制全体を強化できる。一連のプロセスが整理され、自動化なども推進しやすくする。

(3)リスクマネジメントの体制強化

 組織に戦略・戦術の概念をもたらすため、リスクマネジメントの強化を期待できる。現場と経営層・リーダー間のコミュニケーションが円滑に進み、セキュリティに関する意思決定や投資などの、施策や計画が立てやすくなる。

スレットインテリジェンスのデメリット

(1)セキュリティ運用が複雑化する恐れ

 扱う情報が増えることで、意思決定に至るプロセスが複雑化してしまう可能性がある。組織に合ったスレットインテリジェンスを導入ができないと負荷が生じ、セキュリティ運用が複雑化してしまう恐れがある。

(2)運用リソースとコストが追加で発生する

 手間や必要となるシステムリソース、かかるコストが少なからず増えてしまう。導入と並行して、機能やプロセスの効率化や簡素化、自動化などの検討が必要になる。

(3)導入効果・費用対効果の判断が難しい

 その導入効果を即座に実感できないケースが少なくない。システムリソースやコスト増が目立ってしまうと、導入後のその評価が難しくなることも考えられる。

3. スレットインテリジェンスの基本的な機能

スレットインテリジェンスのサービス

 スレットインテリジェンスは、実用的なサイバーセキュリティ対策として認知が広がり、様々な組織で活用されるようになった。当初は、セキュリティ対策ベンダーが用意する脅威情報を提供するものを「スレットインテリジェンス」と呼んでいたが、今では組織のスレットインテリジェンスの活用と促進を図る周辺サービスが登場している。

(1)情報提供系

専門家が分析・モニタリングした脅威や被害状況などの情報を提供するサービス。データフィードやアラート、リポート形式、リストなどの形態がある。具体的な情報を以下に示す。

  • 社会情勢やサイバーセキュリティ政策などを加味した、アドバイザリー契約に基づいた情報
  • セキュリティーベンダーや専門家が注目する脅威・攻撃の動向情報
  • 脅威や脆弱性に関わるトピックなどの早期警戒情報
  • APT攻撃など特定の攻撃タイプに絞った情報
  • 組織からの漏洩情報
  • 被害事実に関わる情報
  • IPやドメイン名などの脅威リスト
(出所:123RF)
(出所:123RF)

(2)プラットフォーム系

スレットインテリジェンスを形成する全ての機能を組み合わせたプラットフォームとして提供する。その範囲は、情報収集からデータの蓄積、蓄積データの分析・管理、通知機能、API(Application Programming Interface)提供、情報共有・連携に及ぶ。例えば、以下の形態がある。

  • OSINT(Open Source Intelligence:一般的なメディアやインターネットなど公開された情報)を対象にするプラットフォーム
  • DDW(Deep and Dark Web:「Deep Web」は検索エンジンでは見つからないサイト、「Dark Web」はDeep Webの中でもアンダーグラウンドなサイト)に関わる情報に特化したプラットフォーム
  • オリジナルの情報や自組織のログを取り込んで分析機能のみを提供するプラットフォーム
  • ユーザー間のコミュニティーの場を提供するプラットフォーム

(3)ツール系

ベンダーが生成したスレットインテリジェンスを、セキュリティ対策製品や分析機能や検知・防御機能を実現するツールに組み込んで提供する。データや情報ではなく、ツールとしてスレットインテリジェンスを利用しやすいようにする。

(4)サービス・ソリューション系

ユーザー組織との綿密なやり取りを経て、スレットインテリジェンスを実現するためのサービスやソリューションを提供する。専門アナリストやコンサルタントが参加し、その組織にとっての潜在的リスクや脅威を特定し、有効な対応策を示す。上記(1)~(3)導入後のマネージド機能の提供やコンサルティングサービスのほか、特定の課題を対象とした診断や助言をするソリューションも存在する。

(5)複合タイプ

上記(1)~(4)を組み合わせて提供する。

 自分の組織にスレットインテリジェンスを導入する際には、上記のタイプの中から、組織に合ったものを選定する必要がある。

 以下では、多岐にわたるスレットインテリジェンスのうち、(2)のプラットフォームについて解説する。

スレットインテリジェンスプラットフォームの基本的な機能

 スレットインテリジェンスプラットフォームが提供する機能を以下に示す。

(1)情報収集からデータの蓄積

 情報源から最新のデータを取得し、データを蓄積する。プラットフォームが提供する機能や特徴などによって蓄積対象のデータは変わるが、多くはさまざまな機能提供がしやすいように構造化したデータの形に整理・加工した上でデータベースに格納する。情報源として自組織のデータや第三者のデータを投入できるサービスも存在する。

(2)蓄積データの分析・管理

 プラットフォーム利用者による脅威分析を支援する機能、あるいはプラットフォーム自身の分析機能によって、蓄積データを分析できるようにする。脅威情報や分析結果の管理により、脅威の種類ごとに分類してIOCsをリスト化する機能やダッシュボードの提供によって、脅威を可視化する機能を備えるものもある。

(出所:123RF)
(出所:123RF)

(3)通知

 管理されたデータに変化があった場合や、脅威を検知した場合に利用者にメールなどで情報を通知する。

(4)API(Application Programming Interface)提供

 スレットインテリジェンスプラットフォームは一般的に利用者にアクセス機能を提供するWebプラットフォームの形態を取る。より高度な利用を望む組織や外部のツールやデータとの連携を必要とする組織のために、APIを提供する。

(5)情報共有・連携

 プラットフォーム内で管理された特定のデータを異なる組織に共有する。その際には、管理対象データや共有・連携の相手合わせて、権限を変えたり、必要最低限の情報に絞ったり、フォーマットを変換したりして、異なるプラットフォーム間で連携する機能を備えるものが多い。

4. 代表的なスレットインテリジェンスプラットフォーム

スレットインテリジェンスプラットフォームの例として、日経クロステック Activeの製品データベース「製品&サービス:IT」から6製品を紹介する。

5. スレットインテリジェンスプラットフォームの料金相場

 1年単位でのサブスクリプションライセンスでの契約が一般的で、料金相場は年額1000万円程度からとなる。ただしプラットフォーム上で扱うデータの種類やサイズ、利用形態や機能、利用ユーザー数、利用するAPI数などに応じて変動する。

(出所:123RF)
(出所:123RF)

6. スレットインテリジェンスプラットフォームを活用する上でのポイント

 スレットインテリジェンスプラットフォームを有効活用するには、セキュリティ対策に関わる発想の転換が必要となる。具体的には、従来のセキュリティインシデントの発生を受けて対応する「ダメージコントロール」から、インシデントが発生する前にリスクに対処する「リスクベース」にシフトすることだ。

 その実現のためには、組織でのさまざまなプロセスでスレットインテリジェンスの活用シーンをイメージし、具体的にどのような効果を期待してその後のアクションにどうつなげるのか、そしてそれをどう継続すべきかを検討する。

(出所:123RF)
(出所:123RF)

 具体的な検討内容を以下に示す。

  • 組織内の担当者間のコミュニケーションツールとしてどう活用するか
  • 自動化が実現できる業務
  • 外部との情報連携・共有を行う場合の活用

 これらプラットフォームの活用により、データやツール、サービスを駆使して作業効率を高め、日々の活動によって、脅威の変化に即座に対応できる体制を築けるようになる。

 ただし人員などのリソース不足に陥り自社での運用が難しいケースも十分考えられる。このような場合は、スレットインテリジェンスに関わる業務のアウトソースを検討するとよいだろう。

7. スレットインテリジェンス関連の事例

 以下では、日経クロステック Activeに掲載したCSIRT構築事例から、スレットインテリジェンスの機能を取り入れているものを紹介する。

8. 注目のスレットインテリジェンス関連サービス

 スレットインテリジェンスを現場で活用するには、様々な手助けをしてくれる製品やサービスを利用するとよりスムーズに進む。以下では、注目のスレットインテリジェンス関連サービスを紹介する。

パロアルトネットワークス

ダークトレース・ジャパン

トレンドマイクロ

9. スレットインテリジェンス関連の新着記事

小笠原 恒雄(おがさわら・つねお)
ラック 次世代セキュリティ技術研究所 所長
小笠原 恒雄(おがさわら・つねお) 脆弱性調査やネットワーク分析技術などのセキュリティ技術の調査研究を経て、研究業務で培った分析技術を活かし、インシデント対応支援やネットワーク脅威分析の業務、セキュリティ製品評価やソリューション企画開発に携わる。現在はサイバーインテリジェンスの研究開発に従事。