脅威分析とは、組織のセキュリティ プロトコル、プロセス、手順を評価して脅威や脆弱性を特定し、さらには、実際に発生する前に、潜在的な攻撃に関する情報を収集することを目的としたサイバーセキュリティ戦略です。

自組織を狙うさまざまな脅威を詳細に調査することで、セキュリティ チームは、自組織を狙う脅威の巧妙さレベルや攻撃の手口をより深く理解するとともに、組織のセキュリティ ポスチャで、これらの脅威に対して脆弱な可能性がある領域を特定することができます。

脅威分析は、組織のセキュリティ境界を侵害している脅威をリアルタイムで評価することから、IT サイバーセキュリティでは事後対応型の戦略として分類されます。この戦略は、組織に仕掛けられている攻撃に対するものですが、適切に実施すれば、予期しないサイバー攻撃による被害の範囲を大幅に縮小できます。

脅威分析で検出される脅威の種類

脅威分析戦略により、組織内のさまざまな種類の脅威を明らかにすることができます。ここでは、一部の種類の脅威を紹介します。

1. 偶発的な脅威
   残念ながら、今日のサイバー攻撃の主な原因の 1 つは、セキュリティ プロセスで構成エラーを犯したり、誤って組織を無防備な状態にしてしまうなどの人的ミスに付け込まれることです。脅威分析を実施することで、悪意のあるアクターに悪用される前に偶発的エラーを特定し、修正できます。
2. 意図的な脅威
   あらゆる組織が懸念しているのが意図的な脅威です。この脅威は、悪意のある人物が組織内の機密データにアクセスし、それを悪用して利益を得ようとする行為によってもたらされます。
3. 内部の脅威
   意外なことに、もっとも懸念すべき脅威の 1 つが内部の脅威です。多くの組織は外部の脅威を懸念し、悪意のあるアクターに侵入されないように高度なセキュリティ アーキテクチャを構築しています。しかし、本当の懸念は、組織のセキュリティ境界の内部に存在します。社内の人間は比較的容易に機密情報にアクセスできるため、残念ながら、従業員が悪事を働けば最悪の事態になる可能性があります。

進化し続ける今日のサイバー脅威の世界では、悪意のある攻撃者の常に一歩先を行くことが極めて重要です。そして、これらの攻撃者に先手を打つ最善の方法の 1 つは、彼らの手口を詳細に把握することです。脅威分析戦略を取り入れることで、次の 3 つの重要なメリットが得られます。

1. 脅威モデルの継続的なアップデート
   堅実なサイバーセキュリティ戦略のもっとも重要な側面の 1 つは、最新の効果的な脅威モデルを構築することです。脅威モデルは、サイバー脅威の現状を包括的に把握することを目的としています。今日のサイバー脅威は驚くようなスピードで進化しており、当然、その進化に合わせて脅威モデルも急速に変化しています。市場に投入される新しいテクノロジーやサービスには、いずれも潜在的なセキュリティ リスクや新たな攻撃対象領域が存在し、サイバー犯罪者に悪用される可能性があります。
   
2. 攻撃対象領域の縮小
   強力な脅威分析戦略に投資することで、組織は攻撃対象領域の劇的な縮小というメリットが得られます。その理由は、脅威分析戦略では、特定した脅威のリストが継続的にアップデートされるためです。これをもとに、セキュリティ チームはそれぞれのセキュリティ境界を強化して、攻撃対象領域の縮小につなげることができます。
   
   さらに、DevOps チームのメンバーは、この情報を利用して脅威を大幅に軽減し、全体的なリスク プロファイルを低減させることができます。
   
3. 最新のリスク プロファイル
   社内のリポジトリやリスク管理システムを使用して脅威を継続的に評価、分類することで、最新のリスク プロファイル、つまり、組織のセキュリティ ポスチャを大幅に向上させるセキュリティ属性を生成できます。
   
   最新のリスク プロファイルを使用して社内監査を実施し、セキュリティ ポリシーと手順を評価すれば、組織のリスク低減戦略の継続的な向上につながります。これらはすべて、セキュリティ ポスチャの強化を目指す組織にとって非常に大きな価値があります。

多くの場合、脅威分析は四半期ごとに実施されますが、それぞれの組織のサイバーセキュリティ戦略に応じて頻度が決定されることも少なくありません。

行政機関、金融、医療など、高リスクの業界に属する多くの組織では、より頻繁に脅威分析を行うことが奨励されています。こうしたセキュリティ プロトコルの実施頻度が増えてきたら、その運用をサードパーティのサービスに任せる方法もあります。それによって社内リソースの負担が軽減され、ほかのサイバーセキュリティ対策に取り組めるようになります。

脅威分析を実施するには、その組織に固有のセキュリティ要件に応じてさまざまな方法がありますが、ほぼすべての脅威分析に見られる 4 つの共通ステップがあります。

ほとんどの脅威分析戦略に見られる 4 つの共通ステップ：

1. 脅威評価の範囲を定義する
   脅威評価を行うには、まず範囲を定義する必要があります。脅威評価の範囲を定義し、脅威評価の目標、評価対象、実行要件を明確にして、事前の準備を整えます。この事前計画の段階では、効果的な脅威分析がどのようなものであり、各段階でなにを実行するかについて明確なロードマップを作成します。
2. 脅威評価の実行に必要なプロセスと手順を作成する
   範囲を適切に定義し、目標、分析対象、これらの分析目標を達成するための要件が明らかになっていれば、プロセスと手順を容易に作成できます。範囲を定義してロードマップを明確にしたら、ここでは、脅威分析を実行するための具体的なツール、プロセス、手順を定義してアプローチを強化します。
3. 脅威の評価システムを定義する
   脅威分析で特定した脅威の評価システムを定義することで、脅威、リスク、脆弱性の重要度を、親しみやすく、理解しやすい形ですべての重要なステークホルダーに伝えることができます。さらに、組織全体で合意し、厳格な評価パラメーターを取り入れた評価システムを定義しておけば、脅威分析を実行した後も長期にわたり、脅威の分類、報告、監視に役立てることができます。
4. 脅威分析を実行する
   範囲、プロセスと手順、評価システムを定義したら、次はいよいよ脅威分析の実行です。社内のセキュリティ チームやセキュリティ担当者の専門知識を活用して脅威分析を実行することも、脅威分析のサポートをサードパーティに依頼することもできます。

脅威分析とリスク分析は、どちらも強力なサイバーセキュリティ戦略に欠かせない要素です。脅威分析と同様、リスク分析も、組織が直面しているリスクやセキュリティ上の懸念を明らかにすることを目的としています。ただし、リスク分析は、根本のプロセスやシステムを深く掘り下げてセキュリティの問題を明らかにするのに対し、脅威分析は、セキュリティ上の懸念に基づいて、発生した脅威をリアルタイムで特定します。

したがって、リスク評価は、組織の脆弱性に影響を与える内部の手順、ポリシー、アプリケーション、サービスをより包括的に網羅します。たとえば、リスク分析では、セキュリティ ツールに対して攻撃を仕掛けられてから、それを評価するのではなく、セキュリティ ツールを詳細に検証して、適切に動作していることを確認します（脅威分析に比べて、よりプロアクティブなアプローチをとります）。

VMware は、お客様の組織の安全性を確保することを目的に、お客様に合わせてカスタマイズされた一連のサービスを提供することで、脅威分析イニシアティブにおけるギャップを克服できるよう支援しています。VMware Threat Analysis Unit は、イノベーションとワールドクラスの調査によってお客様を保護し、サイバー脅威に先手を打って対処できるよう支援しています。VMware Threat Analysis Unit の詳細をご確認ください。