脅威インテリジェンスとは?活用方法、製品・ツールの選び方 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > OSINT > 脅威インテリジェンスとは?活用方法、製品・ツールの選び方

脅威インテリジェンスとは?活用方法、製品・ツールの選び方

 

脅威インテリジェンスは、ここ数年の間に日本に普及し始めた言葉であり、「難解だ」「定義が人によってバラバラ」という声を耳にします。インテリジェンスとは「意思決定を円滑に行う為の支援的なアウトプット」であり、脅威インテリジェンス脅威に対して作成され、活用されるインテリジェンス」のことです。今回の記事では、これから脅威インテリジェンスを活用し始めたい方向けに、2016年から海外のインテリジェンス関連商材をメインに扱ってきた弊社が考える「定義」「活用方法」「ツールの見極め方」を解説していきます。

 

目次

脅威インテリジェンスとは

 ①意思決定を支援する脅威関連情報である

 ②データ、インフォメーションとは違う

 実は身近なインテリジェンス

どう活用するか

 業務ごとの活用イメージ

 インテリジェンスの3分類

 内製か?外注か?

ツールの見極め方

インテリジェンスツール、サービスのご紹介

 

脅威インテリジェンスとは

①意思決定を支援する脅威関連情報である

「脅威インテリジェンス(Threat Intelligence、読み:スレット・インテリジェンス)」を定義した例として、NIST、Flashpoint、Gartnerによるものを以下に引用します。これらはそれぞれ若干異なるようにも見えますが、傍線を付けた箇所に注目すれば「脅威に関する情報である」「意思決定に役立つものである」といった共通項が見えてきます。

NISTの定義

Threat information that has been aggregated, transformed, analyzed, interpreted, or enriched to provide the necessary context for decision-making processes.

意思決定プロセスに必須である背景情報を提供する目的で集約、変形、分析、解釈、補強された脅威情報

(https://csrc.nist.gov/glossary/term/threat_intelligence)

Flashpoint社の定義

Threat intelligence, which is sometimes referred to as cyber threat intelligence, refers to the information and data (i.e. open source intelligence, or OSINT), and context (i.e. finished intelligence) that can be used to identify, prioritize, and thwart a wide variety of threats that can pose a serious risk to an organization.

組織に対する深刻なリスクを引き起こしうる諸々の脅威を発見し、優先順位を付け、阻止するために使える情報やデータ、およびコンテクスト。サイバー脅威インテリジェンスとも言う。

(https://flashpoint.io/blog/what-is-threat-intelligence/)

Gartner社の定義

“Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard.” 

資産に対する既存/新規の脅威/危険に関する証拠に基づく知識(背景、メカニズム、インジケーター、影響、および行動に役立つ助言など)。その脅威/危険への対処に関する意思決定に役立つ情報を提供するために使用できる。

(https://www.gartner.com/en/documents/2487216)

*注:訳と太字は筆者によるものです。

 

②データ、インフォメーションとは違う

脅威インテリジェンスは「意思決定に役立つ脅威関連情報である」だと先に述べましたが、日本語の「情報」に相当する英語にはイン​​テリジェンスのほか、インフォメーションやデータなどがあり、これら3つは厳密には異なる物です。データ、インフォメーション、インテリジェンスの違いは、以下の通りです。

データ = 収集しただけで、整理・加工されていない情報

インフォメーション = 整理・加工済みだが、分析・評価されていない情報

インテリジェンス = インフォメーションを分析・評価し、パッケージ化した情報

 

よって、インテリジェンスを「情報」と表現してしまうと、データやインフォメーションとの違いが伝わりにくくなってしまいます。

以上の①②を踏まえ、弊社ではインテリジェンス「意思決定を円滑に行う為の支援的なアウトプット(=成果物)」脅威インテリジェンスを「脅威に対して作成され、活用されるインテリジェンス」と定義しています。

実は身近なインテリジェンス

難解に思われがちな脅威インテリジェンスですが、実は、サイバーセキュリティに携わる方はすでに、これに近いことを日々実践しているはずです。たとえば、ある重大とされる脆弱性が発表された場合、以下のような流れで対処を行うことでしょう。

(1)「その脆弱性で自社も影響を受けるのか」を調査するよう上司から指示を受ける

(2)脆弱性情報を公的機関やメディアなどから収集する
(例:CVSSスコア、エクスプロイトコードの有無や他社での攻撃に関する報道、攻撃者のIPアドレスなど)

(3)収集した情報を分析に使えるよう整理・加工する
(例:情報の重複や明らかな誤情報を排除する、外国語の情報ソースを翻訳する、マルウェアサンプルからメタデータを抽出する、など)

(4)自社も影響を受けるかを分析する

(5)分析結果をまとめ、上司に報告する

(6)上司の判断を受け、対処する or しない
(例:すぐにパッチを適用する or 見送る)

 

つまり、「すぐパッチ適用するかどうか」の意思決定を行うために、脅威情報を「収集」「整理・加工」「分析・評価」しているのです。このようなプロセスを、脅威インテリジェンスの専門家たちは「インテリジェンスサイクル」として定式化/体系化しています。

インテリジェンスサイクル

1プランニングと要件定義意思決定者の要求を理解する
2収集ソース選択とデータ収集
3分析データからインテリジェンスへの変換
4作成レポートの作成
5配布評価とフィードバック

どう活用するか

ここまで、「脅威インテリジェンスとは何か」ついてお話ししてきました。後半では、脅威インテリジェンスの活用イメージについてお話ししていきます。また、前半ではサイバー脅威への活用を念頭に話を進めてきましたが、ここから先はサイバー脅威以外への活用も想定した話となります。

実際、マキナレコードの提供するインテリジェンスツールのSilobreakerFlashpointは、地政学的リスク(海外拠点付近での暴動やテロなど)への対策や、サードパーティリスク管理(委託、提携先の情報セキュリティやコンプライアンス、レピュテーションなど)、ブランドイメージや知的財産・商標の保護(なりすましアカウントの監視/削除など)にも活用頂いています。

業務ごとの活用イメージ

インテリジェンスを受け取る意思決定者(=オーディエンス)ごとに、以下のような活用方法が考えられます。

オーディエンス例①:経営者の要件

経営者がインテリジェンスレポートに求めるもの(要件)としては、以下のようなものが想定されます。

・当社のブランドを毀損するメディア記事を知りたい

・競合製品の市場におけるインパクトを知りたい

・設立予定の海外支社に関するリスク評価が欲しい

・経営陣に関する脅迫・身体的な脅威について知りたい

・情報セキュリティ関係(例:競合他社でのインシデント事例について知りたい)

オーディエンス②:セキュリティチームリーダーの要件

・パッチマネジメントを適切に実施するための脆弱性情報とその評価、影響度

・同業種でのフィッシングキャンペーンのトレンド

・流行中のマルウェアに関する詳細な情報

・流行中の攻撃のTTPに関する情報

オーディエンス③:SOC担当者の要件

・SIEMで検出する新たな攻撃のリクエストパターン

・新規のC&C(コマンド・アンド・コントロールサーバー)に関する情報

オーディエンス④:新規事業開発室室長の要件

・考案中の新規事業に関するリスク評価(地政学的評価も含む)

図:オーディエンス別の活用方法例(*DDW=ディープ・アンド・ダークウェブの略)

インテリジェンスの3分類

このようにインテリジェンスはさまざまなシーンで活用できます。したがって、まずはどんな目的でインテリジェンスを活用するのかを定めることが重要です。一般的にインテリジェンスは、「どれくらいの期間活用するか」「誰が活用するか」「何を知りたいか」に応じて、以下の3つに分類されます。

①戦略レベル(Strategic Intelligence)

半年〜1年、もしくはそれ以上といった長い期間にわたり、組織の上層部が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。

・事業戦略に役立てるため

・競合のインシデント事例を知るため

・海外展開先の軍事/サイバー関連情勢を知るため

・事業に関するセキュリティ予算策定における業界標準を知るため

・適切なサイバー保険に加入するために必要な施策を知るため

②運用レベル(Operational Intelligence)

戦略レベルよりも短い期間(1か月〜半年)にわたり、マネージャー層が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。

・担当サービスのシステムにおける脆弱性情報を知るため

・適切なパッチマネジメントサイクルを知るため

・担当サービスへの脅威に関するTTPやトレンドを知るため

・アクター(攻撃者)による攻撃キャンペーンについて把握するため

③戦術レベル(Tactical Intelligence)

3つの中で最も短い期間(1か月以内)にわたり、現場担当者が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。

・IOCの収集と共有、適用

・将来攻撃が予測される脅威ハンティング

図:インテリジェンスの3種類

ここで重要なのは、根本的な目的や要件が損なわれないよう、チームがどのレベルのインテリジェンスを取り扱うか、きちんとコンセンサスを取り、理解しておくことです。

内製か?外注か?

インテリジェンス業務に必要な人員は、企業内で確保すべきでしょうか、外注すべきでしょうか? インテリジェンスで取り扱う情報や要件は企業にとって重要なものである場合が多いため、基本的には内製をお勧めします。専門的な人材の確保といった事情から内製が厳しい場合も、まずは要件定義や少量のインテリジェンスを作るプロセスができあがったら、改めて外注を考えることが望ましいです。また、海外の脅威インテリジェンスチームを見ると、インテリジェンスチームを専属で作れない場合には、SOCチームが兼任するケースが多いようです。始め方がわからない場合は、コンサルタントに相談するのも良いかもしれません。

人員(求められるスキル)

①戦略レベル

技術的な背景は特に強くなくて良い。客観的な視点、国際情勢や政情をきちんと把握できる。簡潔なレポートを作成できる。

 ②運用レベル

一定の技術的背景を持つ必要あり。社内のシステムを把握している。俯瞰的に考えられる。

③戦術レベル

技術的背景が強く必要。パターンの検出、アラートの為のキーワードの策定、TTPにつながる攻撃手法の把握・理解。

戦略的活用のポイント

オーディエンスをきちんと定義すること

◆ オーディエンスと要件定義を密なコミュニケーションとともに定義すること

◆ 利用する情報ソースを特定し、分析する際の評価(信頼性)基準を策定しておくこと

◆ 収集で利用するキーワードの準備、収集のタイミング、保管場所、共有方法を定義すること(特にDDWでは英語のスラングや英語以外の言語を使った投稿が多く、これらを拾えるキーワードを作れるかが重要)

◆ 分析時に粒度が変わらないよう、一定の基準をアナリストで共有すること

◆ 分析結果の背景を明確にするために、情報のもととなるイベントのタイムラインに気をつけること

◆ 膨大な量の情報を収集・分析する上で一定のコストを予算化し、有料のものを適切に活用すること

ツールの見極め方

以下、インテリジェンスツールの見極め方をまとめました。

なお、導入コストに見合った結果を出すためには、導入に先立って「インテリジェンス業務がすでに存在している/近日中に開始される」「作成したいインテリジェンスがすでに確定している」といったことが重要です。

 

◆ インテリジェンスサイクルのどの場面でどのようなツールが必要になるのかを検討する。ツールを使うことでどのようなメリットが得られるかを検討する

◆ 情報収集のためのツールは比較的導入しやすい。収集場所がオープンソースなのか、ダークウェブなのかでもツールの特性は分かれる

◆ 十分な情報が集められるようになったあとは、それをどう処理するかや、Threat Intelligence Platform(TIP)の導入も検討する

◆ 分析のツール(TIPなど)は機能が多いが、英語インターフェイスであることと、多機能すぎて使いこなせない場合も多い(逆に言えば、TIPや分析ツールはある程度チームが成熟してから導入するのが良い)

◆ 一つのツールですべてが完結するわけではなく、いくつかのツールを組み合わせたほうが良いケースが多い(OSINT特化型やDDW特化型など、各ツールごとに得意分野がある)

◆ ツールの開発元がどこの国のものなのかも検討する必要がある(ほぼすべてのサービスがクラウドサービス。また、政治・国防上、特定の国のツールを導入すること自体が問題になり得る場合も)

◆ 複数のサービスをAPIで連携すると、比較的いろいろなことができるがコストは掛かる

◆ 日本の代理店があるか、きちんとサポートしてくれるかどうか

ツール、サービスのご紹介

マキナレコードでは、脅威インテリジェンスに活用できるツールや、ツールをお客様に代わって運用するマネージドサービス、インテリジェンス担当者養成のためのトレーニングのほか、インテリジェンスの導入支援を行うコンサルティングサービスを提供しております。

ツール(OSINT系)

Silobreaker

Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。情報を検索するためのツールというよりは、常時監視するためのツールです。

画像:Silobreakerのダッシュボード(操作画面)。画像はフィッシング情報を監視するダッシュボードで、URLやIPアドレスといった情報の傾向を示しています。

 

ツール(DDW系)

Flashpoint

DDWに特化した検索・分析ツールです。

 

ReGemini(漏洩カード情報に特化)

不正に取得・盗難されたクレジットカード情報をモニタリングするプラットフォームです。

 

 

ツール(Threat Intelligence Platform)

Anomali

上記のような脅威インテリジェンスツールなど、さまざまなソースからの情報を1か所に集約します。集約した情報を自社のセキュリティシステム(SIEMやFWなど)と連携させて、脅威への自動対応を行うことも可能です。

 

*Anomaliの詳しい機能と活用事例については、こちらの記事でご紹介しています。

「Anomali」にできること 活用事例

マネージドサービス

お客様に代わりマキナレコード社の実績のあるアナリストが監視/通知/運用を行うサービスです(対象サービス:Flashpoint、Silobreakerなど)。

対象となるお客様例

・セキュリティ運用業務の人的リソースが不足している

・自社に対する脅威情報/漏洩認証情報の監視ができていない

・レポートの作成に時間がかかっている

・検知はできているが、分析や関連情報の収集まではできていない

サービス内容

・同業界での脅威情報の提供

・月次/週次レポートによる報告

・リアルタイムでの脅威情報の提供

・実績のあるアナリストによる詳細分析情報/関連情報の収集

 

インテリジェンストレーニング

“Cyber Intelligence Fundamental Training”

目的

「インテリジェンス」が業務になった場合の具体的なイメージを理解する(インテリジェンスサイクルの理解)

・チーム構成の人員要件を確認する

・自分の組織に必要な、収集するべき情報、分析するためのツールの確認

対象

・セキュリティ・リスク管理の担当者

・C職を含む意思決定者

特色

・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)

・米国CISAによるNICE Frameworkへのアダプト

・ハンズオントレーニングを含む2日間のトレーニング

学習する項目

・インテリジェンスサイクルの理解

・脅威の定義

・データソースの特徴

・要件定義の仕方

・情報収集とは

・分析ツール、各種フォーマット

 

 

コンサルティング(インテリジェンスの導入支援)

インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。

対象となるお客様例

・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない

・情報が散在しており、活用しきれていない

・どういった情報があつめられ、どのように活用すればいいかがわからない

サービス内容例

・要件定義の策定支援

・インテリジェンスを始めるにあたっての基礎トレーニング

・必要なツールの選定

・インテリジェンスを活用するためのレポーティング手法

・他サービスとのインテグレーション

・運用支援