これまでのセキュリティ対策を一歩進めて、高度なサイバー攻撃の検知や防御を可能とする手段の一つとして、脅威インテリジェンスの活用があります。
アメリカなどでは活用が進んでいる脅威インテリジェンスですが、国内では一部のグローバル企業を除き、それほど活用が進んでいません。
そこでこの記事では、脅威インテリジェンスの概要や種類、ライフサイクルなどについて詳しく解説します。
また、企業の情報セキュリティ担当者様や、サイバー攻撃対策をお考えの方のご参考になればと、LRMでは、身近だけどハイリスクなサイバー攻撃10選を解説した資料を無料で配布しております。
基本情報から事例・対策に至るまで網羅的に把握していただけます。
こちらからダウンロードできますので、ぜひご活用ください。
脅威インテリジェンスとは
脅威インテリジェンスとは、一言で言うと『攻撃者の意図や能力、設備などに関する情報を整理および分析することで有益な知識を導き出し、使用可能なものに変えたもの』です。
企業は脅威インテリジェンスを活用することで、従来のセキュリティ対策で見逃されていた高度なサイバー攻撃を防御・検知できるようになります。
脅威インテリジェンスはアメリカなどでは普及していますが、日本ではそれほど活用されていません。
しかし国内の企業においても、脅威インテリジェンスと意識せずに、それに準じたセキュリティ対策や活動を行っている企業も多くあります。
たとえばニュースなどで自社と近い業種の会社にサイバー攻撃が発生したとき、その攻撃に関する情報を調べたり、自社において十分な対策が取られているかどうか調査したりするでしょう。
このような活動もある意味では脅威インテリジェンスということができます。
脅威インテリジェンスの種類
脅威インテリジェンスといっても、情報の専門性の違いなどによっていくつかの種類があります。
具体的には以下のような内容です。
- 戦略的脅威インテリジェンス
- 企業の経営陣に対する説明につかわれる非技術的な情報であり、ビジネス上の意思決定に使われるリスク分析などに用いられる。
- 戦術的脅威インテリジェンス
- どのように脅威が実行されて、それをどのように防御するかなどの技術的な詳細情報。攻撃の経路や使用されているツール、対策などが含まれ、これらによってセキュリティ対策における意思決定を行う。
- 運用上脅威インテリジェンス
- IT部門における脅威管理に活用され、特的の攻撃に関する対策のために利用される情報。
- 技術的脅威インテリジェンス
- サイバー攻撃の具体的な痕跡であるセキュリティ侵害インジケケータであり、攻撃に使われたメール本文やIPアドレス、マルウェアのサンプルなどの情報。
脅威インテリジェンスの重要性
脅威インテリジェンスの活用により、サイバー攻撃への対応を積極的に進めることが可能となります。
サイバー攻撃を防御するためには、脆弱性を把握し脅威が実行される手段を理解しておく必要があります。
脅威インテリジェンスの活用により、クラウドやネットワークなどへのセキュリティ対策を、さまざまなレベルで強化することが可能となります。
脅威インテリジェンスの収集の過程で、攻撃者を理解すると同時に、インシデントへの迅速な対応が可能となり、次の攻撃に対して積極的な対策を講じられるというメリットもあります。
たとえば、企業内で独自に脅威インテリジェンスを活用することもあれば、外部の脅威インテリジェンスの専門家の手を借りることもあるでしょう。
いずれにせよ企業は攻撃者の先手を打ち、サイバー攻撃への事前策をとることで、未来に起こるであろうサイバー攻撃へ対処できるのです。
外部のセキュリティ専門家を活用する場合では、大企業においては、自社のみで高度なセキュリティ対策を施す場合よりコストを低減させることが可能となり、中小企業においては、達成が求められるレベルのセキュリティ対策を実現できるようになるのです。
脅威インテリジェンスのライフサイクル
脅威インテリジェンスを効果的に活用するためには、そのライフサイクルを理解して、意思決定と具体的な行動に落とし込めるように生の情報を使いやすい形に変えることが重要です。
ライフサイクルは6つのステップで構成されており、最終的には継続的な改善につながるフィードバックを実施することになります。
脅威インテリジェンスのライフサイクルの6ステップは以下の通りです。
- 1.目標設定
- 自社において脅威インテリジェンスをどのように活用するのか目標を決めます。ここで決めた目標に応じて、2番目以降のステップを実施します。
- 2.収集
- 目標を達成するためのデータを収集します。具体的には、トラフィックログやフォーラム、SNS、業界の専門家など、脅威インテリジェンスの提供元を特定して、必要な情報を集めます。
- 3.処理
- 収集のステップで集めたデータを分析できる形に加工します。Excelで処理しやすい形式にフォーマットを変更したり、海外の情報の翻訳、データが必要なものであるか関連性と信頼性を検証したりします。
- 4.分析
- 専門知識を持つアナリストが処理されたデータを分析し脅威インテリジェンスとして、情報の負荷や関連付けを行います。
- 5.利用
- 分析された脅威インテリジェンスをステークホルダーと共有して利用します。専門用語などを極力排除して、情報を整理してレポートとして簡潔にまとめます。
- 6.フィードバック
- 最後のステップとして、分析結果にたいしてフィードバックを行い、今後の脅威インテリジェンスの運用に向けて調整します。
脅威インテリジェンスのユースケース
脅威インテリジェンスの役職別のユースケースをまとめました。
| 役職 | ユースケース |
|---|---|
| セキュリティ・ITアナリスト | 脅威の検知能力を高めて、防御力を強化する。攻撃者のIPアドレス、不正なURL・ドメイン・ファイルなどをブロック。 |
| セキュリティオペレーションセンター | 組織における脅威のリスクとインパクトを考慮してインシデントの優先付けを行う。インシデントへのアラート設定、セキュリティコンロトールの調整。 |
| CSIRT | インシデントの調査と管理、分析を行いインシデントのスコープを定義する。 |
| インテリジェンスアナリスト | 攻撃者の侵入の証拠を確認し特定する。攻撃の検知精度を向上させる。 |
| エグゼクティブマネジメント | 脅威があたえるビジネス上のインパクトと把握し、組織に対する脅威のレベルを評価する。 |
LRMの脅威インテリジェンス「攻撃遮断くん」について
LRMでは脅威インテリジェンスサービスである「攻撃遮断くん」を提供しています。
これはクラウド型WAFのサービスであり、外部からのサイバー攻撃を遮断することで、個人情報の漏洩やWebサイトの改ざん、サービスの停止などからWebサイトを保護します。
従来のファイアウォールやIPS/IDSでは防御が困難な、SQLインジェクションやクロスサイトスクリプティングなどの防御も可能です。
導入時の技術サポートはもちろん、24時間365日利用できる完全日本語によるサポートもあり、料金もプランも必要となるWebサイト数や機能により柔軟に選択可能です。
導入サイト数は15,000サイト以上にのぼり、年間継続率は98.9%以上です。
中小企業から大企業まで、企業の規模を問わず導入されている自慢のサービスです。
まとめ
サイバー攻撃の手口は時間の経過とともに高度かつ複雑になってきており、従来のセキュリティ対策ではその対応が困難になっています。
しかし脅威インテリジェンスの活用は、そのようなサイバー攻撃への対策として有効な手段となっています。
自社のみでの導入な困難な場合、弊社でも脅威インテリジェンスに関するサービスを提供しています。ぜひご検討ください。
また、高度化かつ複雑化を続けるサイバー攻撃10選をまとめた資料はこちらからダウンロードできます。ぜひご活用ください。
