脅威インテリジェンスとは?活用方法、製品・ツールを比較する際のポイント | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > 脅威インテリジェンス > 脅威インテリジェンスとは?活用方法、製品・ツールを比較する際のポイント

脅威インテリジェンスとは?活用方法、製品・ツールを比較する際のポイント

 

最近になって、脅威インテリジェンスThreat Intelligence、またはCyber Threat Intelligence)という言葉が、日本のセキュリティ業界にも浸透してきました。この記事では、2016年から海外のインテリジェンス商材をメインに扱ってきた弊社が考える、脅威インテリジェンスの「定義」「活用方法」「ツールの比較ポイント」について、わかりやすく解説していきます。

目次

脅威インテリジェンスとは

 脅威インテリジェンスとは

 脅威とは

 インテリジェンスとは

 なぜインテリジェンスが重要か

どう活用するか

 業務ごとの活用イメージ

 インテリジェンスの3分類

 内製か?外注か?

ツールの選び方、比較のポイント

インテリジェンスツール、サービスのご紹介

脅威インテリジェンスとは

脅威インテリジェンスとは

脅威インテリジェンスとは、「脅威に関する情報のうち、意思決定に役立つよう集計、変形、分析、解釈、補強されたもの」です。

脅威(Threat)とは

「脅威=意図×能力」?

脅威とは、自身の組織に悪い影響を与え得る、あらゆる状況や出来事を指す概念です。ここでの「悪い影響」は、特に情報セキュリティの文脈では、インターネットなどの情報システム関係のものを指します。定義と言うには、やや漠然としすぎているかもしれませんが、米国の国立標準技術研究所(NIST)による定義も、これに近いものになっています[1]。

より詳しく、「脅威=意図×能力」などと定義する文献もあります。たとえば、サイバー攻撃を行う動機だけあって攻撃する能力を持たない者は、脅威とは言えません(同様に、能力があっても動機がなければ、脅威にはなりません)。当たり前のように聞こえるかもしれませんが、「脅威」と喧伝されるもので溢れる今、「自分が本当に恐れるべきは何か」を知るのに重要な考え方です。

インテリジェンス(Intelligence)とは

インテリジェンスは「情報」

インテリジェンス(intelligence)は、辞書では「秘密の情報のうち、たとえば外国、特に敵国について収集されるもの、もしくは、その情報を収集する人」などと説明されています[2]。つまり、「諜報活動で集めた情報」「スパイ」などを指す軍事分野の用語です。

データ、インフォメーションとの違い

情報セキュリティの文脈では、「敵国」を「脅威」や「攻撃者」に置き換えて考えます。よって、脅威インテリジェンスは「脅威に関する情報」くらいの意味と言えますが、この定義では、まだ不十分です。というのも、日本語の「情報」に相当する英語には、イン​​テリジェンスのほか、インフォメーションやデータもあるためです。これら3つは、厳密には異なります。たとえばNISTは、脅威情報(Threat Information)脅威インテリジェンス(Threat Intelligence)を次のように区別しています[3]。

脅威情報(Threat Information)

脅威に関するあらゆる情報で、諸組織が脅威に対する自衛やアクターによる活動の検知を行う上で役立つ可能性のあるもの。主なタイプには、サイバー攻撃の痕跡(indicator)、攻撃者の習性(TTP)、セキュリティアラート、脅威インテリジェンスレポート、ツール構成などがある。

脅威インテリジェンス(Threat Intelligence)

脅威情報のうち、意思決定プロセスに必須のコンテクストを提供するように、集計、変形、分析、解釈、補強されたもの。

どちらも、脅威への対処に役立つ情報ではありますが、インテリジェンスの方には「意思決定」「コンテクスト」というキーワードが入っています。コンテクスト(context)は、「文脈」「前後関係」「背景情報」などと訳され、集まったインフォーメーションの「意味」や「だから何?」を教えてくれるものです。「だから何?」が伝わらない情報を受け取っても、意思決定に役立てることは難しいですよね。

このように、データ→インフォメーション→インテリジェンスの順に、情報の粒度が変化し、より実用的(actionable)な情報に近づいていくことが分かるかと思います。

表:広義の「情報」=データ、インフォメーション、インテリジェンス

データ収集しただけで、整理・加工されていない情報
インフォメーション整理・加工済みだが、分析・評価されていない情報
インテリジェンスインフォメーションを分析・評価し、パッケージ化した情報

なぜインテリジェンスが重要か

サイバー攻撃者らは今この瞬間も、新たな攻撃の手口を次々と編み出しています。また、ダークウェブやチャットサービスといった、一般の人には追跡が困難なコミュニケーション手段を駆使して、攻撃に関するノウハウやサービス、漏洩したデータなどをやりとりしています。一方で、守る側に目を向けてみるとどうでしょう? DXやリモートワークの普及に伴って守るべき情報資産は増える一方、セキュリティエンジニア不足が叫ばれています。

このように、守る側のリソースは、守るべき資産の量や攻撃者のリソースに圧倒されています。限られたリソースの下、スピーディーかつ正確に脅威情報を分析・報告することが求められているのです。

脅威インテリジェンスのツールや考え方には、このニーズに応えるための「知恵」が詰まっています。たとえば、一般に「脅威インテリジェンスツール」と呼ばれるものは、膨大なデータを収集し、人が見やすい形へ整理する作業を常時、自動で行ってくれます。また、考え方の例としては、成果物としての脅威インテリジェンスを作成するプロセスを体系化した「インテリジェンスサイクル」をはじめとして、役に立つ情報提供を行うためのノウハウが数多く蓄積されています。

脅威が溢れる中、「今本当に対処しないといけない脅威はどれか」、「どの脅威に優先して対応するか」を判断する上で、脅威インテリジェンスが重要なのです。

インテリジェンスサイクルの図。単なる調査ではなく、このサイクルを回して、必要であれば改善していくことが重要。
1プランニングと要件定義意思決定者の要求を理解する
2収集ソース選択とデータ収集
3分析データからインテリジェンスへの変換
4作成レポートの作成
5配布評価とフィードバック

表:各要素の説明。インテリジェンスサイクルについては、関連記事(サイバー脅威インテリジェンス要件の進化とチームの課題)で、より詳しく説明しています。

どう活用するか

ここまで、「脅威インテリジェンスとは何か」ついてお話ししてきました。後半では、脅威インテリジェンスの活用イメージについてお話ししていきます。また、前半ではサイバー脅威への活用を念頭に話を進めてきましたが、ここから先はサイバー脅威以外への活用も想定した話となります。

実際、マキナレコードの提供するインテリジェンスツールのSilobreakerFlashpointは、地政学的リスク(海外拠点付近での暴動やテロなど)への対策や、サードパーティリスク管理(委託、提携先の情報セキュリティやコンプライアンス、レピュテーションなど)、ブランドイメージや知的財産・商標の保護(なりすましアカウントの監視/削除など)にも活用頂いています。

関連記事

「ピラミッドオブペイン」とは? 脅威情報をもっと有効活用するための考え方

業務ごとの活用イメージ

インテリジェンスを受け取る意思決定者(=オーディエンス)ごとに、以下のような活用方法が考えられます。

オーディエンス例①:経営者の要件

経営者がインテリジェンスレポートに求めるもの(要件)としては、以下のようなものが想定されます。

・当社のブランドを毀損するメディア記事を知りたい

・競合製品の市場におけるインパクトを知りたい

・設立予定の海外支社に関するリスク評価が欲しい

・経営陣に関する脅迫・身体的な脅威について知りたい

・情報セキュリティ関係(例:競合他社でのインシデント事例について知りたい)

オーディエンス②:セキュリティチームリーダーの要件

・パッチマネジメントを適切に実施するための脆弱性情報とその評価、影響度

・同業種でのフィッシングキャンペーンのトレンド

・流行中のマルウェアに関する詳細な情報

・流行中の攻撃のTTPに関する情報

オーディエンス③:SOC担当者の要件

・SIEMで検出する新たな攻撃のリクエストパターン

・新規のC&C(コマンド・アンド・コントロールサーバー)に関する情報

オーディエンス④:新規事業開発室室長の要件

・考案中の新規事業に関するリスク評価(地政学的評価も含む)

オーディエンス別の活用方法例を示した図
図:オーディエンス別の活用方法例(*DDW=ディープ・アンド・ダークウェブの略)

インテリジェンスの3分類

このようにインテリジェンスはさまざまなシーンで活用できます。したがって、まずはどんな目的でインテリジェンスを活用するのかを定めることが重要です。一般的にインテリジェンスは、「どれくらいの期間活用するか」「誰が活用するか」「何を知りたいか」に応じて、以下の3つに分類されます。

①戦略レベル(Strategic Intelligence)

半年〜1年、もしくはそれ以上といった長い期間にわたり、組織の上層部が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。

・事業戦略に役立てるため

・競合のインシデント事例を知るため

・海外展開先の軍事/サイバー関連情勢を知るため

・事業に関するセキュリティ予算策定における業界標準を知るため

・適切なサイバー保険に加入するために必要な施策を知るため

②運用レベル(Operational Intelligence)

戦略レベルよりも短い期間(1か月〜半年)にわたり、マネージャー層が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。

・担当サービスのシステムにおける脆弱性情報を知るため

・適切なパッチマネジメントサイクルを知るため

・担当サービスへの脅威に関するTTPやトレンドを知るため

・アクター(攻撃者)による攻撃キャンペーンについて把握するため

③戦術レベル(Tactical Intelligence)

3つの中で最も短い期間(1か月以内)にわたり、現場担当者が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。

・IOCの収集と共有、適用

・将来攻撃が予測される脅威ハンティング

インテリジェンスの3種類を示した図
図:インテリジェンスの3種類

ここで重要なのは、根本的な目的や要件が損なわれないよう、チームがどのレベルのインテリジェンスを取り扱うか、きちんとコンセンサスを取り、理解しておくことです。

内製か?外注か?

インテリジェンス業務に必要な人員は、企業内で確保すべきでしょうか、外注すべきでしょうか? インテリジェンスで取り扱う情報や要件は企業にとって重要なものである場合が多いため、基本的には内製をお勧めします。専門的な人材の確保といった事情から内製が厳しい場合も、まずは要件定義や少量のインテリジェンスを作るプロセスができあがったら、改めて外注を考えることが望ましいです。また、海外の脅威インテリジェンスチームを見ると、インテリジェンスチームを専属で作れない場合には、SOCチームが兼任するケースが多いようです。始め方がわからない場合は、コンサルタントに相談するのも良いかもしれません。

人員(求められるスキル)

①戦略レベル

技術的な背景は特に強くなくて良い。客観的な視点、国際情勢や政情をきちんと把握できる。簡潔なレポートを作成できる。

 ②運用レベル

一定の技術的背景を持つ必要あり。社内のシステムを把握している。俯瞰的に考えられる。

③戦術レベル

技術的背景が強く必要。パターンの検出、アラートの為のキーワードの策定、TTPにつながる攻撃手法の把握・理解。

戦略的活用のポイント

オーディエンスをきちんと定義すること

◆ オーディエンスと要件定義を密なコミュニケーションとともに定義すること

◆ 利用する情報ソースを特定し、分析する際の評価(信頼性)基準を策定しておくこと

◆ 収集で利用するキーワードの準備、収集のタイミング、保管場所、共有方法を定義すること(特にDDWでは英語のスラングや英語以外の言語を使った投稿が多く、これらを拾えるキーワードを作れるかが重要)

◆ 分析時に粒度が変わらないよう、一定の基準をアナリストで共有すること

◆ 分析結果の背景を明確にするために、情報のもととなるイベントのタイムラインに気をつけること

◆ 膨大な量の情報を収集・分析する上で一定のコストを予算化し、有料のものを適切に活用すること

ツールの選び方、比較のポイント

以下、インテリジェンスツールの見極め方をまとめました。

なお、導入コストに見合った結果を出すためには、導入に先立って「インテリジェンス業務がすでに存在している/近日中に開始される」「作成したいインテリジェンスがすでに確定している」といったことが重要です。

◆ インテリジェンスサイクルのどの場面でどのようなツールが必要になるのかを検討する。ツールを使うことでどのようなメリットが得られるかを検討する

◆ 情報収集のためのツールは比較的導入しやすい。収集場所がオープンソースなのか、ダークウェブなのかでもツールの特性は分かれる

◆ 十分な情報が集められるようになったあとは、それをどう処理するかや、Threat Intelligence Platform(TIP)の導入も検討する

◆ 分析のツール(TIPなど)は機能が多いが、英語インターフェイスであることと、多機能すぎて使いこなせない場合も多い(逆に言えば、TIPや分析ツールはある程度チームが成熟してから導入するのが良い)

◆ 一つのツールですべてが完結するわけではなく、いくつかのツールを組み合わせたほうが良いケースが多い(OSINT特化型やDDW特化型など、各ツールごとに得意分野がある)

◆ ツールの開発元がどこの国のものなのかも検討する必要がある(ほぼすべてのサービスがクラウドサービス。また、政治・国防上、特定の国のツールを導入すること自体が問題になり得る場合も)

◆ 複数のサービスをAPIで連携すると、比較的いろいろなことができるがコストは掛かる

◆ 日本の代理店があるか、きちんとサポートしてくれるかどうか

ツール、サービスのご紹介

マキナレコードでは、脅威インテリジェンスに活用できるツールや、ツールをお客様に代わって運用するマネージドサービス、インテリジェンス担当者養成のためのトレーニングのほか、インテリジェンスの導入支援を行うコンサルティングサービスを提供しております。

ツール(OSINT系)

Silobreaker

Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。情報を検索するためのツールというよりは、常時監視するためのツールです。

Silobreakerのダッシュボード(操作画面)
画像:Silobreakerのダッシュボード(操作画面)。画像はフィッシング情報を監視するダッシュボードで、URLやIPアドレスといった情報の傾向を示しています。

 

ツール(DDW系)

Flashpoint

DDWに特化した検索・分析ツールです。

Flashpointに画像

 

ReGemini(漏洩カード情報に特化)

不正に取得・盗難されたクレジットカード情報をモニタリングするプラットフォームです。

ReGeminiのモニタリング画面

 

 

ツール(Threat Intelligence Platform)

Anomali

上記のような脅威インテリジェンスツールなど、さまざまなソースからの情報を1か所に集約します。集約した情報を自社のセキュリティシステム(SIEMやFWなど)と連携させて、脅威への自動対応を行うことも可能です。詳しい機能と活用事例については、関連記事(Anomaliにできること 活用事例)でご紹介しています。

Anomaliのシステムを示した図

 

マネージドサービス

新聞を虫眼鏡で読んでいる人

お客様に代わりマキナレコード社の実績のあるアナリストが監視/通知/運用を行うサービスです(対象サービス:Flashpoint、Silobreakerなど)。

対象となるお客様例

・セキュリティ運用業務の人的リソースが不足している

・自社に対する脅威情報/漏洩認証情報の監視ができていない

・レポートの作成に時間がかかっている

・検知はできているが、分析や関連情報の収集まではできていない

サービス内容

・同業界での脅威情報の提供

・月次/週次レポートによる報告

・リアルタイムでの脅威情報の提供

・実績のあるアナリストによる詳細分析情報/関連情報の収集

 

インテリジェンストレーニング

教育を受けている社員

“Cyber Intelligence Fundamental Training”

目的

「インテリジェンス」が業務になった場合の具体的なイメージを理解する(インテリジェンスサイクルの理解)

・チーム構成の人員要件を確認する

・自分の組織に必要な、収集するべき情報、分析するためのツールの確認

対象

・セキュリティ・リスク管理の担当者

・C職を含む意思決定者

特色

・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)

・米国CISAによるNICE Frameworkへのアダプト

・ハンズオントレーニングを含む2日間のトレーニング

学習する項目

・インテリジェンスサイクルの理解

・脅威の定義

・データソースの特徴

・要件定義の仕方

・情報収集とは

・分析ツール、各種フォーマット

 

 

コンサルティング(インテリジェンスの導入支援)

ミーティングを行うチーム

インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。

対象となるお客様例

・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない

・情報が散在しており、活用しきれていない

・どういった情報があつめられ、どのように活用すればいいかがわからない

サービス内容例

・要件定義の策定支援

・インテリジェンスを始めるにあたっての基礎トレーニング

・必要なツールの選定

・インテリジェンスを活用するためのレポーティング手法

・他サービスとのインテグレーション

・運用支援

 

 

注釈

[*1] NIST Special Publication 800-150, Guide to Cyber Threat Information Sharing 内の、以下の定義を参照。

Threat

Any circumstance or event with the potential to adversely impact organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, or the Nation through an information system via unauthorized access, destruction, disclosure, or modification of information, and/or denial of service. 

(筆者訳)

脅威

情報の不正な取得、破壊、公開、変更、ないしサービス妨害といった手段により、情報システムを通じて組織の活動(任務、機能、イメージ、風評など)、組織の資産、個人、他の組織、国家に悪い影響を与え得る、あらゆる状況や出来事。

[*2] Oxford Advanced Learner’s Dictionary 10th Edition, “intelligence” (2)

[*3] NIST Special Publication 800-150, Guide to Cyber Threat Information Sharing (p.31) より、筆者が翻訳。

筆者プロフィール

田村恭平 / 株式会社マキナレコード インテリジェンス関連・翻訳担当

2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。