2022.07.01 11:09:48
脅威インテリジェンス
脅威インテリジェンスの活用方法、製品・ツールを比較する際のポイント

脅威インテリジェンス(Threat Intelligence、読み「スレット・インテリジェンス」)という言葉が、日本のセキュリティ業界にも浸透してきました。この記事では、2016年から海外のインテリジェンス商材を国内に紹介してきたマキナレコードが、これから脅威インテリジェンスを活用し始めたい方向けに、脅威インテリジェンスの「活用方法」「ツールを比較する際のポイント」を解説していきます。
そもそも脅威インテリジェンスとは
脅威インテリジェンスとは、情報セキュリティの用語であり、「脅威情報のうち、意思決定プロセスに必須のコンテキスト(context)を提供するように、集約、変形、分析、解釈、または補強されたもの」を指します。具体的には、マルウェアファイルのハッシュ値や攻撃者の使用ドメイン等のサイバー攻撃の痕跡、攻撃者の使用ツールや習性(TTP)、攻撃の動向といった情報を、自社のインシデントレスポンスやセキュリティ体制の強化に役立つような形にしたものを指します。脅威インテリジェンスは、差し迫ったリスクから防御するために活用されるほか、中長期的な防御計画の策定に関する意思決定プロセスにも役立ちます。

1 | プランニングと要件定義 | 意思決定者の要求を理解する |
2 | 収集 | ソース選択とデータ収集 |
3 | 分析 | データからインテリジェンスへの変換 |
4 | 作成 | レポートの作成 |
5 | 配布 | 評価とフィードバック |
表:各要素の説明。インテリジェンスサイクルについては、関連記事(サイバー脅威インテリジェンス要件の進化とチームの課題)で、より詳しく説明しています。
どう活用するか
脅威インテリジェンスの活用イメージについてお話ししていきます。
業務ごとの活用イメージ
インテリジェンスを受け取る意思決定者(=オーディエンス)ごとに、以下のような活用方法が考えられます。
オーディエンス例①:経営者の要件
経営者がインテリジェンスレポートに求めるもの(要件)としては、以下のようなものが想定されます。
・当社のブランドを毀損するメディア記事を知りたい
・競合製品の市場におけるインパクトを知りたい
・設立予定の海外支社に関するリスク評価が欲しい
・経営陣に関する脅迫・身体的な脅威について知りたい
・情報セキュリティ関係(例:競合他社でのインシデント事例について知りたい)
オーディエンス例②:セキュリティチームリーダーの要件
・パッチマネジメントを適切に実施するための脆弱性情報とその評価、影響度
・同業種でのフィッシングキャンペーンのトレンド
・流行中のマルウェアに関する詳細な情報
・流行中の攻撃のTTPに関する情報
オーディエンス例③:SOC担当者の要件
・SIEMで検出する新たな攻撃のリクエストパターン
・新規のC&C(コマンド・アンド・コントロールサーバー)に関する情報
オーディエンス例④:新規事業開発室室長の要件
・考案中の新規事業に関するリスク評価(地政学的評価も含む)

インテリジェンスの3分類
このようにインテリジェンスはさまざまなシーンで活用できます。したがって、まずはどんな目的でインテリジェンスを活用するのかを定めることが重要です。一般的にインテリジェンスは、「どれくらいの期間活用するか」「誰が活用するか」「何を知りたいか」に応じて、以下の3つに分類されます。
①戦略レベル(Strategic Intelligence)
半年〜1年、もしくはそれ以上といった長い期間にわたり、組織の上層部が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。
・事業戦略に役立てるため
・競合のインシデント事例を知るため
・海外展開先の軍事/サイバー関連情勢を知るため
・事業に関するセキュリティ予算策定における業界標準を知るため
・適切なサイバー保険に加入するために必要な施策を知るため
②運用レベル(Operational Intelligence)
戦略レベルよりも短い期間(1か月〜半年)にわたり、マネージャー層が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。
・担当サービスのシステムにおける脆弱性情報を知るため
・適切なパッチマネジメントサイクルを知るため
・担当サービスへの脅威に関するTTPやトレンドを知るため
・アクター(攻撃者)による攻撃キャンペーンについて把握するため
③戦術レベル(Tactical Intelligence)
3つの中で最も短い期間(1か月以内)にわたり、現場担当者が活用することを想定したインテリジェンスです。要件の例として、以下のものが挙げられます。
・IOCの収集と共有、適用
・将来攻撃が予測される脅威ハンティング

ここで重要なのは、根本的な目的や要件が損なわれないよう、チームがどのレベルのインテリジェンスを取り扱うか、きちんとコンセンサスを取り、理解しておくことです。
内製か?外注か?
インテリジェンス業務に必要な人員は、企業内で確保すべきでしょうか、外注すべきでしょうか? インテリジェンスで取り扱う情報や要件は企業にとって重要なものである場合が多いため、基本的には内製をお勧めします。専門的な人材の確保といった事情から内製が厳しい場合も、まずは要件定義や少量のインテリジェンスを作るプロセスができあがったら、改めて外注を考えることが望ましいです。また、海外の脅威インテリジェンスチームを見ると、インテリジェンスチームを専属で作れない場合には、SOCチームが兼任するケースが多いようです。始め方がわからない場合は、コンサルタントに相談するのも良いかもしれません。
人員(求められるスキル)
①戦略レベル
技術的な背景は特に強くなくて良い。客観的な視点、国際情勢や政情をきちんと把握できる。簡潔なレポートを作成できる。
②運用レベル
一定の技術的背景を持つ必要あり。社内のシステムを把握している。俯瞰的に考えられる。
③戦術レベル
技術的背景が強く必要。パターンの検出、アラートの為のキーワードの策定、TTPにつながる攻撃手法の把握・理解。
戦略的活用のポイント
◆ オーディエンスをきちんと定義すること
◆ オーディエンスと要件定義を密なコミュニケーションとともに定義すること
◆ 利用する情報ソースを特定し、分析する際の評価(信頼性)基準を策定しておくこと
◆ 収集で利用するキーワードの準備、収集のタイミング、保管場所、共有方法を定義すること(特にDDWでは英語のスラングや英語以外の言語を使った投稿が多く、これらを拾えるキーワードを作れるかが重要)
◆ 分析時に粒度が変わらないよう、一定の基準をアナリストで共有すること
◆ 分析結果の背景を明確にするために、情報のもととなるイベントのタイムラインに気をつけること
◆ 膨大な量の情報を収集・分析する上で一定のコストを予算化し、有料のものを適切に活用すること
ツールの選び方、比較のポイント
以下、インテリジェンスツールの見極め方をまとめました。
なお、導入コストに見合った結果を出すためには、導入に先立って「インテリジェンス業務がすでに存在している/近日中に開始される」「作成したいインテリジェンスがすでに確定している」といったことが重要です。
◆ インテリジェンスサイクルのどの場面でどのようなツールが必要になるのかを検討する。ツールを使うことでどのようなメリットが得られるかを検討する
◆ 情報収集のためのツールは比較的導入しやすい。収集場所がオープンソースなのか、ダークウェブなのかでもツールの特性は分かれる
◆ 十分な情報が集められるようになったあとは、それをどう処理するかや、Threat Intelligence Platform(TIP)の導入も検討する
◆ 分析のツール(TIPなど)は機能が多いが、英語インターフェイスであることと、多機能すぎて使いこなせない場合も多い(逆に言えば、TIPや分析ツールはある程度チームが成熟してから導入するのが良い)
◆ 一つのツールですべてが完結するわけではなく、いくつかのツールを組み合わせたほうが良いケースが多い(OSINT特化型やDDW特化型など、各ツールごとに得意分野がある)
◆ ツールの開発元がどこの国のものなのかも検討する必要がある(ほぼすべてのサービスがクラウドサービス。また、政治・国防上、特定の国のツールを導入すること自体が問題になり得る場合も)
◆ 複数のサービスをAPIで連携すると、比較的いろいろなことができるがコストは掛かる
◆ 日本の代理店があるか、きちんとサポートしてくれるかどうか
ツール、サービスのご紹介
弊社マキナレコードでは2016年から、脅威インテリジェンスのツールを日本のお客様に提供してまいりました。現在、脅威インテリジェンスフィードやTIPなどのツールのほか、ツールをお客様に代わって運用するマネージドサービス、インテリジェンス担当者養成のためのトレーニング、インテリジェンスの導入支援を行うコンサルティングサービスを提供しております。
ツール(OSINT系)
Silobreaker
Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。
【用途(例)】
・脆弱性情報の収集
・ブランド保護(模倣サイト、フィッシングサイトの検知やテイクダウン)
・OSINT(競合他社のインシデント情報、業界に対するサイバー攻撃トレンドの把握)
・情報セキュリティ以外のビジネスリスクインテリジェンス(支社等の拠点を置く国家の情勢、各国の規制、事業戦略に関する調査や分析)

ツール(DDW系)
Flashpoint
ディープ・アンド・ダークウェブ(DWW)やチャットサービスをはじめとする「不法コミュニティ(Illicit Community)」のモニタリングに特化した検索・分析ツールです。
【用途(例)】
・従業員/顧客の認証情報や機密情報の漏洩の監視
・DDWトレンドの監視(アクター情報、脆弱性情報/PoC、IoC、インサイダー脅威など)
ReGemini(漏洩カード情報に特化)
不正に取得・盗難されたクレジットカード情報をモニタリングするプラットフォームです。
【用途】クレジットカード漏洩の監視
ツール(Threat Intelligence Platform)
Anomali
上記のような脅威インテリジェンスツールなど、さまざまなソースからの情報を1か所に集約します。集約した情報を自社のセキュリティシステム(SIEMやファイアウォールなど)と連携させて、サイバー脅威への自動対応を行うことも可能です。詳しい機能と活用事例については、関連記事(Anomaliにできること 活用事例)でご紹介しています。
【用途(例)】セキュリティ脅威への自動対応、脅威ハンティング、フォレンジックなど
マネージドサービス
お客様に代わり、マキナレコード社の実績のあるアナリストが個別の要件に基づいて監視/通知/運用を行うサービスです。
対象となるお客様例
・セキュリティ運用業務の人的リソースが不足している
・自社に対する脅威情報/漏洩認証情報の監視ができていない
・レポートの作成に時間がかかっている
・検知はできているが、分析や関連情報の収集まではできていない
提供サービスの例
・企業ドメインの漏洩認証情報監視
・脆弱性情報の収集
・特定業界に対するサイバー攻撃トレンドの把握
・ブランドプロテクション
(模倣サイトやフィッシングサイトの検知、テイクダウン支援等)
・地政学的リスクモニタリング
etc.
インテリジェンストレーニング
脅威インテリジェンス初学者を想定したマキナレコード独自の教育プログラムです。
業務として脅威インテリジェンスに携わる場合の具体的なイメージの理解や、人員要件から、自組織で収集するべき情報の特定や、分析するための手法、ツールのハンズオントレーニング(オプション)など、幅広く学習できる最大2日間のトレーニングコースです。
特色
・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)
・米国CISAによるNICE Frameworkへのアダプト
・ハンズオントレーニングを含む2日間のトレーニング
学習する項目
・インテリジェンスサイクルの理解
・脅威の定義
・データソースの特徴
・要件定義の仕方
・情報収集とは
・分析ツール、各種フォーマット
コンサルティング(インテリジェンスの導入支援)
インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。
対象となるお客様例
・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない
・情報が散在しており、活用しきれていない
・どういった情報があつめられ、どのように活用すればいいかがわからない
サービス内容例
・要件定義の策定支援
・インテリジェンスを始めるにあたっての基礎トレーニング
・必要なツールの選定
・インテリジェンスを活用するためのレポーティング手法
・他サービスとのインテグレーション
・運用支援

筆者プロフィール
田村恭平 / 株式会社マキナレコード インテリジェンス関連・翻訳担当
2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。