脅威インテリジェンスとは
 

サイバー攻撃者たちは新しい脆弱性を見つけては悪用しており、コンピューター システムやネットワークに対する攻撃方法はさまざまに進化し続けています。サイバー脅威インテリジェンス（CTI）は、企業が自社を守れるよう、新しい脅威に関する最新の情報を入手するのに役立ちます。サイバー セキュリティの専門家は、収集した攻撃に関する情報を整理、分析し、精査して、そこから学習し、企業の保護に役立てます。 

脅威インテリジェンス（セキュリティ インテリジェンス）は、すでに行われている攻撃の遮断やその影響の緩和にも役立ちます。攻撃に対する IT チームの理解が深まれば、攻撃への対抗策について、情報に基づいた適切な判断ができるようになります。

脅威インテリジェンスの種類

脅威インテリジェンスには、専門的でない概要情報から、特定の攻撃に関する技術的な詳細情報まで、さまざまな種類があります。脅威インテリジェンスの種類をいくつか紹介します。

• 戦略的：戦略的脅威インテリジェンスは、脅威をコンテキストのなかで捉える、概要レベルの情報です。技術的な専門性の高い情報ではないため、経営陣に対する説明の際にも適切な内容です。戦略的脅威インテリジェンスの一例として、1 つのビジネス上の意思決定により、サイバー攻撃に対する組織の脆弱性がどうなるかに関するリスク分析が挙げられます。  
• 戦術的：戦術的脅威インテリジェンスには、脅威がどのように実行され、どのように防御できるかに関する詳細情報が含まれます。たとえば、攻撃の経路、ツール、攻撃者が使用しているインフラストラクチャ、標的になっているビジネスやテクノロジーの種類、回避戦略などです。さまざまな種類の攻撃について、自社が標的になる可能性の高さを理解するうえでも役立ちます。サイバーセキュリティの専門家は、戦術的情報を利用して、セキュリティの制御や防御態勢の管理について、情報に基づいた意思決定を行います。 
• 運用上：運用上の脅威インテリジェンスは、IT 部門が積極的脅威管理の一環として、特定の攻撃に対する対策の実施に利用できる情報です。その攻撃の意図や、攻撃の性質、タイミングなどに関する情報です。この情報は、攻撃者から直接収集することが理想的であり、そのため入手するのは容易ではありません。
• 技術的：技術的脅威インテリジェンスは、攻撃が行われている具体的な痕跡、すなわちセキュリティ侵害インジケーター（IOC）です。脅威インテリジェンス ツールの中には、人工知能を使用してこのようなインジケーターを探索するものもあります。たとえば、フィッシング詐欺の E メールの内容、C2 インフラストラクチャの IP アドレス、既知のマルウェア サンプルから得られたアーティファクトなどのインジケーターがあります。

脅威インテリジェンスのメリット

脅威インテリジェンスやサイバー脅威に関するツールは、さまざまなタイプの攻撃によるリスクや、攻撃に対する防御として最善の方法を理解するうえで役立ちます。サイバー脅威インテリジェンスは、すでに行われている攻撃の影響を緩和するうえでも役立ちます。企業の IT 部門が独自に脅威インテリジェンスを収集する場合もあれば、情報を収集し、最適なセキュリティ対策についてアドバイスを提供する脅威インテリジェンス サービスを利用する場合もあります。Software-Defined Networking（SDN）を導入している企業では、脅威インテリジェンスを使用することで、特定の種類のサイバー攻撃に対する防御ができるように迅速にネットワークを再構成することができます。 

脅威インテリジェンスが重要である理由

脅威インテリジェンスにより、サイバー攻撃に対して、事後対応ではなくプロアクティブな対応ができます。セキュリティの脆弱性や脅威インジケーター、脅威がどのように実行されるかについて理解しなければ、サイバー攻撃に対して効果的に防御することはできません。脅威インテリジェンスにより、攻撃を迅速に防ぎ、封じ込めることができるため、多大な損失を回避できます。脅威インテリジェンスにより、ネットワーク セキュリティやクラウド セキュリティなど、さまざまなレベルのエンタープライズ セキュリティ制御をさらに強化することができます。

一般的なセキュリティ侵害インジケーター

セキュリティ担当者は、適切な場所で異常を探せば、進行中または過去の攻撃の痕跡を見つけられることが少なくありません。これについては、人工知能が大いに役立つ可能性があります。一般的な IOC としては、次のようなものがあります。

• 特権を持つユーザー アカウントの異常なアクティビティ：攻撃者は、高度な権限を持つアカウントを利用しようとしたり、侵害したアカウントからさらにより高い権限を持つ別のアカウントへと移ろうとしたりすることが多くなっています。
• ログインの異常：就業時間外にログインして権限のないファイルにアクセスしようとしている、同じアカウントに対して世界各地の別の IP アドレスから連続してログインが行われている、存在しないユーザー アカウントにログインしようとして失敗している、といったことがあれば、なんらかの問題を示す兆候と考えられます。
• データベースの読み取り量の増加：データベースの読み取り量が大幅に増加している場合、データベース内のすべてのクレジット カード番号などのデータを、何者かが異常なほど大量に抽出しようとしている可能性があります。
• 異常な DNS リクエスト：特定のホストからの DNS リクエストの急増や、外部ホストへの DNS リクエストのパターンの出現は、いずれも危険信号です。これらは、外部のだれかがコマンド & コントロール トラフィックを送信していることを意味する可能性があるためです。
• 同じファイルに対する多数のリクエスト：サイバー犯罪で実行されるアクティビティの大部分は、攻撃の繰り返しです。攻撃者が脆弱性を探していることを示している可能性があります。同じファイルに対して 500 件のリクエストがあれば、だれかが弱点を探してさまざまな方法を試行していることが考えられます。
• 説明のつかない構成やシステム ファイルの変更：クレジット カード情報の収集ツールを発見することは容易ではありませんが、インストールされたツールで実行されたシステム ファイルの変更を発見することは、比較的簡単にできます。 

利用可能な脅威インテリジェンスツール

さまざまな脅威インテリジェンス ツールがあり、購入することや、オープンソース コミュニティで無償で入手することができます。それぞれのツールによって、脅威インテリジェンスの収集方法が少しずつ異なります。

• マルウェアの逆アセンブラー：マルウェアのリバース エンジニアリングを行ってそのしくみを解析し、今後の同様の攻撃に対する防御方法の判断に役立てるものです。
• セキュリティ情報イベント管理（SIEM）ツール：SIEM ツールを使用すると、リアルタイムでネットワークの監視を行い、異常な動作や疑わしいトラフィックの情報を収集できます。
• ネットワーク トラフィック解析ツール：ネットワーク トラフィック解析ツールは、ネットワークの情報を収集し、ネットワーク アクティビティを記録して、侵入の検知に役立つ情報を提供します。
• 脅威インテリジェンスのコミュニティやリソース コレクション：既知のセキュリティ侵害インジケーターに関する情報や、コミュニティで作成された脅威に関するデータが集約されていて、無償でアクセスできる Web サイトは、脅威インテリジェンスの貴重な情報源となります。コミュニティのなかには、共同調査に対応し、脅威に対する防御や対策について実践的なアドバイスを提供しているものもあります。

新しい脅威について認識し、その回避方法を知っていれば、攻撃が行われる前に防御の対策を取ることができます。脅威インテリジェンスの収集とレビューのプロセスは、すべての組織がエンタープライズ セキュリティ戦略の一環として取り入れる必要があります。