外部脅威インテリジェンスとは？

外部脅威インテリジェンスは、組織のネットワーク外部の情報源からデータを収集・分析し、サイバー関連の脅威や脆弱性についての理解を深めるものです。これにより組織は脅威の予測、防御の強化、インシデント対応を円滑にできるようになります。

外部データを使って生産される同インテリジェンスは、資産のモニタリング、サードパーティーのリスク管理、ランサムウェア・脆弱性関連のインテリジェンスに基づく幅広い脅威ランドスケープを組織として把握するだけでなく、地政学、物理セキュリティ、世界で起こった出来事がサイバーインテリジェンスに与える影響を理解する上で役に立ちます。

*本記事は、弊社マキナレコードが提携する英Silobreaker社の記事を翻訳したものです。

外部脅威インテリジェンスに使われる情報源

外部脅威インテリジェンスは、多種多様な情報源から引き出されるインテリジェンスです。具体的には以下のような情報源が使われています。

• オープンソースインテリジェンス（OSINT） – セキュリティ関連のブログやリサーチ、脆弱性に関するデータベース（例：CVE/NVD）、政府機関（例：英NCSC、米CISA）が出すアドバイザリ、ペーストサイト、コードリポジトリ、ソーシャルメディア、フォーラムなど一般に利用可能な情報。
• 商用の脅威インテリジェンスフィード – サイバー脅威について、厳選された一連の情報の流れを把握できるサブスクリプションベースのサービス。サイバーセキュリティに特化した企業が提供している。
• ダークウェブおよびディープウェブのモニタリング情報 – 人目につかないフォーラムやマーケットプレイスから得た情報。こういった場では脅威アクターがツールやデータ、サービスに関して取引を行っている。
• 情報共有コミュニティ – 脅威インテリジェンスやベストプラクティスを共有する部門特化型あるいは業界横断型グループ（例：FS-ISAC、CISP）。
• 政府および法執行機関 – 国のサイバーセキュリティ機関や法執行作戦を基とするアラート、テクニカルブレティン、共同インテリジェンス。

内部脅威インテリジェンス 対 外部脅威インテリジェンス

「脅威インテリジェンス」という用語は単独で用いられる場合、ある組織の独自のネットワークやシステム、アプリケーション内から情報が集められた「内部脅威インテリジェンス」を指すことがほとんどです。内部脅威インテリジェンスは特定の組織に特有のリスクについて具体的な見解を提供するもので、これにはネットワークのログやセキュリティアラート、脆弱性スキャン、脅威ハンティングの結果、ユーザーの行動分析が含まれます。

外部脅威インテリジェンスとは、ある組織の外部から収集された情報のことです。攻撃が発生する前に組織がこれを予測して防御できるように、外の敵を把握することに重点を置いています。内部脅威インテリジェンスと外部脅威インテリジェンスの根本的な違いは、データの情報源とその範囲にあります。

内外双方の脅威インテリジェンスを使う重要性

内部脅威インテリジェンスと外部脅威インテリジェンスの両方を使うことは、包括的かつ効果的なサイバーセキュリティ戦略を構築するために欠かせません。

外部インテリジェンスは世界的な脅威の全体像を提供するもので、例えばどの敵が活動を行っているのか、活動の動機は何か、敵が使っている手口はどのようなものか、といった情報が含まれています。このような先を見据えた見解は、組織が攻撃を予測したり、新たな脅威への対策を立てたりする上で役立ちます。また、どのアラートや脆弱性を優先して対応すべきかを決めるための重要なコンテキストを得ることもできます。

一方、内部インテリジェンスはログやアラート、ユーザーの行動、システムのアクティビティを通じ、組織内のネットワーク内で何が起こっているのかを明らかにするものです。これによって、実際の脆弱性や進行中の侵害行為、インサイダー脅威を把握することができます。

両インテリジェンスを組み合わせることで、セキュリティの全体像があらわになります。外部インテリジェンスは組織が内部アラートを解釈する際にコンテキストを提供し、害のない異常パターンと、標的型攻撃が行われているサインを見分ける助けとなります。内部インテリジェンスは外部の脅威が組織にとって関係あるものかどうか、そして現時点でシステムに影響を及ぼしているかどうかを検証します。

外部脅威インテリジェンスの種類：戦略・運用・戦術

脅威インテリジェンスは通常、3つのカテゴリーに分類されます。それぞれの情報は粒度が異なり、利用者に応じたものが提供されます。

まず戦略脅威インテリジェンスについてです。これは企業の幹部や意思決定者にリスクの概観を提供するもので、どのような敵対者が存在するのか、なぜ自組織が標的になり得るのかに加え、組織に影響する可能性のある長期的なリスクや傾向について理解するのに役立ちます。これには、より幅広いトレンドや地政学的リスク、業界特化型の脅威が含まれることもあります。

運用脅威インテリジェンスは、脅威アクターが実施する特定のキャンペーンについて調査したものです。脅威ハンターやインシデント対応担当者、セキュリティマネージャーを対象に、脅威アクターのプロフィールや戦術・技術・手順（TTP）について背景状況に応じた情報を提供します。脅威ハンティングのプレイブックを作成したり、進行中のインシデントを把握したりするほか、脆弱性の優先順位付けを行う上で役に立ちます。

戦術脅威インテリジェンスは、攻撃者が使う手法やツール（例：有害なIPアドレスまたはファイルのハッシュといったIoC）に重点を置いたもので、セキュリティアナリストや自動ツールが脅威を直ちに検知・ブロックすることを可能にします。この種のインテリジェンスは、戦略インテリジェンスが提供するような広い視点からの情報ではなく、より粒度の細かい詳細な情報を提供します。

これら3つのカテゴリーの外部脅威インテリジェンスを組み合わせると、広範囲に及ぶ脅威の傾向から差し迫った危険まで、外部脅威に関する包括的な見解を得ることができます。

Silobreakerの外部脅威インテリジェンス

Silobreakerのインテリジェンスプラットフォームは、外部ソースから得た大量の非構造化データを分かりやすくするために作られたものです。外部脅威インテリジェンスサービスに基準を設け、データの収集から分析、報告・共有まで、インテリジェンスサイクルにおけるすべての段階をカバーしています。

Silobreakerはオープンウェブ、ディープウェブ、ダークウェブにまたがる無数の情報源からデータを収集しているほか、複数の優れたデータプロバイダーと業務提携を結んでいます。最高のパートナーと連携することで、それらのコンテンツやアラート、フィード、完成されたインテリジェンスレポートをすべてSilobreakerに統合しています。Silobreakerは従来のTIP（脅威インテリジェンスプラットフォーム）とは違い、構造化された脅威フィードから得たIoCやその他の技術データを管理する機能が備わっていますが、お客様自身のデータや、外部の事業者から受け取ったデータを追加することが可能です。Silobreakerのプラットフォームはソースに依存せず、10年以上にわたって厳選してきた最も関連性の高い公開コンテンツと商用コンテンツを基に構築されています。

複数のユースケースにわたって優先的インテリジェンス要件（PIR）を管理し、ワークフローを効率化するとともに、ステークホルダーのニーズに合わせたインテリジェンスを生産しましょう。アナリストはシンプルで使いやすいインターフェースを通じてデータの検索、要約、分析、可視化、解釈を行い、プラットフォーム内で高品質かつブランド化されたレポートをダイレクトに作成することができます。

「インテリジェンスの共有」においても同様に柔軟性が高く、ステークホルダーへのアラート通知から、事前定義されたコネクタやAPIを通じたシステム間の自動連携まで、さまざまなオプションがあります。Silobreakerはデータの収集から共有まで、インテリジェンスサイクル全体を一元管理することで統合にかかるコストを軽減し、データの品質とアナリストの生産性を向上させます。その結果、より迅速でスケーラブルなインテリジェンスの生産が可能となり、人の手による分析能力を強化できるほか、組織全体でより適切な情報に基づいた意思決定が可能になります。