脅威インテリジェンス(Threat Intelligence、読み「スレット・インテリジェンス」)という言葉が、日本のセキュリティ業界にも浸透してきました。この記事では、2016年から海外のインテリジェンスソリューションを日本に紹介してきたマキナレコードが、導入を検討中の方向けに、脅威インテリジェンスの国内での活用例と活用のヒントを解説していきます。
⑥風評リスクへの対応
⑦法規制の動向を把握
⑧フィジカルリスクへの早期対応
要件をしっかり定義する
最初から完璧に活用できなくても良い
コンテキストを伝える
そもそも脅威インテリジェンスとは
脅威インテリジェンスとは、「組織の(主に)サイバー空間における活動に関係する情報を、体系的に収集、分析、配布すること」[1]、または、このプロセスの結果として生まれる成果物を指します。具体的には、脅威情報(例:マルウェアのハッシュ値や、攻撃者の使用ドメインやツール、TTPなど)を収集し、自社の対応や対策に役立つ形へと整えるためのプロセスと、その結果生まれた情報を指します。脅威インテリジェンスは、差し迫ったリスクからの防御から、中長期的な防御計画の策定まで、様々な意思決定プロセスに役立てられます。
より詳しい説明は、以下の関連記事をご覧いただければ幸いです。
国内で主な活用例8つ
では、脅威インテリジェンスは、実際どのように活用されているのでしょうか。以下、国内での主な活用例を8つご紹介します。
なお、冒頭で、脅威インテリジェンスはプロセスまたは成果物であると述べましたが、このプロセスや成果物は、通常、専用のツールを用いて行われます(有償のものも、フリーツールも存在します)。これは、インターネット上の情報が膨大かつ多様であり、手作業で収集や処理を行うのは非常に労力がかかるためです。よって、以下の活用例は、こうした専用ツールの活用を前提に読み進めていただくと、イメージしやすいかと思います。
①情報流出や攻撃の兆候を検知し、被害の防止や軽減につなげる
まず、自組織の情報流出や、攻撃の兆候がないかを監視するために活用されています。
例えば、自組織の認証情報や顧客の個人情報が、ダークウェブ等のアンダーグラウンドに流出していないかをモニタリングする、という活用法です。実際にインシデントが発生してからモニタリングを始めるケースもありますが、攻撃の防止や緩和のため、平時から行うケースもあります。例えば、流出した認証情報は、攻撃者に取得され、ランサムウェア攻撃やフィッシングなどのさらなる攻撃に悪用される恐れがあります。こうした攻撃の被害を防いだり、軽減したりするためには、速やかに流出を検知し、パスワード変更やマルウェアの駆除といった対応を行うことが有効です。
この他、攻撃の予告や攻撃成功の報告がされていないかを監視するケースもあります。例えば、ランサムウェアグループを監視したい場合はリークサイト(主にダークウェブ)が、ハクティビストであればツイッター、ダークウェブ、匿名チャットなどが情報ソースとなります。
なお、こうした情報を「自分でダークウェブに入って確認したい」と思われるかも知れませんが、ダークウェブの調査には様々な専門的知識が必要になります。安全に調査を行うためのスキルはもちろん、「外国語を理解・翻訳する」「情報の信憑性を見極める」「情報提供先に分かりやすく伝える」といったスキルも求められます。こうした技能や経験のある脅威インテリジェンス専門のアナリストによるサポートを受けることで、より有意義な情報を得ることが可能になります。
ツール例
Flashpoint (ディープウェブ・ダークウェブ、チャット等をモニタリング)
Silobreaker (サーフェスウェブをモニタリングするOSINTツール)
ReGemini (クレジットカード情報のモニタリングに特化)
②脆弱性情報を収集・分析し、パッチ管理に役立てる
次に紹介するのが、脆弱性情報を収集し、その情報をパッチ管理に役立てるという活用法です。
脆弱性の情報は、開発元ベンダーの公式発表の他にも、セキュリティリサーチャーのブログやツイッターなど、ネット上の様々な場所で交換され、議論の対象となっています。また、アンダーグラウンドでは、PoCやエクスプロイトの売買や共有が行われています。こうした背景から、「ある脆弱性が同業のセキュリティ担当者や攻撃者たちからどの程度話題にされているか」を、パッチ管理の参考にするという声をよく耳にします。
脅威インテリジェンスのツールの中には、サーフェスウェブ、ディープ&ダークウェブといった膨大なウェブ空間から脆弱性に関する情報を常時収集し、リスクをグラフなどで可視化し、分析やレポーティングを支援するものがあります。このような脅威インテリジェンスツールにより、様々なソースに基づき、十分な根拠を持ってパッチ管理に臨むことが可能になります。
ツール例
③自組織に関係のある脅威のトレンドを把握する
また脅威インテリジェンスは、自組織に関係のある脅威のトレンドを把握するためにも活用されています。
よくある例として、「今、国内でどんなマルウェアや攻撃手法が流行っているか」を把握する活用法が挙げられます。ベンダーのレポートや、被害企業のプレスリリース、報道、セキュリティリサーチャーのブログやツイッターといった情報ソースから、特定のキーワードに言及したものをアラートで通知したり、ダッシュボード上でグラフなどの形で可視化したります。また、同様の方法により「今、どの業種が最も攻撃を受けているか」を把握する活用法もあります。例えば、多くの子会社を抱えていて事業分野の広い企業が、現在どの事業分野の対策を優先すべきかの判断材料とするために活用するケースです。
もちろんこれらは、多くの企業が既に、サイト巡回やRSSフィードなどによる手作業で日常的に行っているものでしょう。よって、脅威インテリジェンスを活用するまでもない、と思われるかもしれません。しかし、②でも触れたように、ウェブ上の情報は膨大です。脅威インテリジェンスツールは、手間のかかるデータの収集や分析のための前処理(翻訳やグラフ化など)といった工程を自動化します。これにより、より網羅的にデータを収集したり、人的リソースを分析や配布といったタスクに集中したりできるようになります。
ツール例
④アタックサーフェスのリスクを評価する
攻撃者の目線から見た自組織のIT資産を可視化・管理するASMツールに、脅威インテリジェンスが組み込まれることもあります。
ASM(Attack Surface Management)は、今年5月に経産省が導入ガイダンス[2]を公表するなど、国内でも注目されてきています。注目される背景として、パッチ未適用の脆弱性や公開状態の情報資産が、サイバー攻撃者の侵入口として用いられていることが挙げられます。
ASMツールは、外部からアクセス可能なIT資産を発見して関連するリスクを評価しますが、このリスク評価を脅威インテリジェンスを活用して行うことにより、対応の優先順位付けを支援する製品も存在します。
ツール例
⑤IoC情報を収集・管理してセキュリティ製品と連携する
サイバー攻撃の痕跡を表す情報であるIoC(Indicator of Compromise)を収集し、SIEMなどのセキュリティ製品と連携させ、攻撃防御に利用するという活用法があります。こちらは、おそらく脅威インテリジェンスの活用法として、最も一般的にイメージされるものかと思います。
IoCとは、特定のサイバー攻撃で使用されたマルウェアファイルのハッシュ値、攻撃者が用いるIPアドレスやドメインなどといったデータに、メタデータ(データの取得日時など)とコンテキスト(何の攻撃で用いられたかなどの背景情報)を加えたものです。IoCなどの脅威インテリジェンスをSIEMやファイアウォールなどと連携し、脅威への自動対応を可能にするツールとして、Threat Intelligence Platform(TIP)があります。
ツール例(TIP)
⑥〜⑧:サイバー攻撃対策以外での活用
以下、サイバー攻撃への対策ではないものの、自社を取り巻くリスクに対応するために、脅威インテリジェンスが活用されている例をご紹介します。
⑥風評リスクへの対応
フィッシングサイト、偽SNSアカウント、偽アプリなどの「なりすまし」を検知し、注意喚起やテイクダウンに繋げるために、脅威インテリジェンスツールが活用されています。
ツール例
関連記事:フィッシングサイトのテイクダウンとは
⑦法規制の動向を把握
世界各国の規制当局のサイトやニュース報道を常時収集し、可視化・分析・報告するために活用されるケースもあります。
ツール例
⑧フィジカルリスクへの早期対応
拠点を置く外国でのテロや治安情報を収集し、従業員保護に役立てるために、使われるケースもあります。
ツール例
活用のヒント
以上のように、脅威インテリジェンスは国内においても様々な場面で活用されています。
とはいえ、脅威インテリジェンス自体は、まだ日本に普及し始めてから歴史が浅く、「導入したはいいけど、上手く活用できているか分からない」という方もいるかも知れません。そこで、脅威インテリジェンス活用のヒントを、いくつかご紹介します。
要件をしっかり定義する
脅威インテリジェンスツールは、「導入して終わり」「アナリストのレポートを読んで終わり」ではありません。もっとも、これは他のソリューションにも言えることですが、脅威インテリジェンスの場合は特に当てはまります。というのも、脅威インテリジェンスの活用は、PDCAのように「サイクルを回す」ことが大前提であり、その起点では「要件定義(Planning & Direction)」を行う必要があるためです。要件、例えば「何に困っていて、どんな情報をどこから集めるのか」「その情報を知って何をしたいのか」は、組織ごとに異なります。この要件定義を各組織においてしっかり行うことが、活用のコツとなります。
なお上述のサイクルは、インテリジェンスサイクルと呼ばれます(下図)。インテリジェンスサイクルは、要件定義、収集、処理、分析・作成、配布から成ります。
インテリジェンスサイクルについては、関連記事(サイバー脅威インテリジェンス要件の進化とチームの課題)で、より詳しく説明しています。
最初から完璧に活用できなくても良い
最初から完璧に活用できなくても良い、という点もポイントです。先に述べた通り、インテリジェンスは「サイクルを回す」ことが大前提です。サイクルの終点に位置する「配布」では、同時に「フィードバック」も行われます。これは、実際に生産したインテリジェンスが本当に要件に見合ったものかを見直す工程です。「報告が遅かった」「報告内容を見ても、どんなアクションを取ればいいのか分からない」「新たな情報収集ソースをモニタリング対象に追加して欲しい」など、様々な内容について、情報の提供者と受け手の間で意見交換することが大切です。このフィードバックは、次のサイクルでより要件に適ったインテリジェンスを生産・提供する上で大変役立ちます。
もちろん、脅威インテリジェンスのツールには高価なものが多く、「最初から完璧に活用できなくては困る」という声が聞こえてきそうです。しかし、有償ツールには劣るものの、無償ツールの中にも、情報の収集・可視化・分析・レポート作成に役立つものが存在します。なので、最初は無償ツールから始め、要件がはっきりしてから、それに見合った有償ツールを検討するという選択肢もあります。また、有償ツールの運用を外部のアナリストに委託するマネージドサービスを導入してみることもお勧めです。弊社では、こうしたMSSPのサービスを提供しており、上場企業様での導入実績もあります。
また有償ツールを導入する場合、インテリジェンスツールの提供元は海外企業であることが多いため、手厚い日本語サポートのあるベンダーを選ぶことは、重要なポイントです。
コンテキストを伝える
最後に、脅威インテリジェンスを運用する側、つまり成果物を提供する側が注意したい点は、「コンテキストを伝えること」です。つまり、「提供しようとするインテリジェンスが相手にとってどんな意義を持つのか」や、「そもそもなぜ、この情報を収集・提供するのか」を、一言でいいので、伝えることが大切です。これによって、情報の受け手はアクションを取りやすくなります。弊社では、海外のインテリジェンス専門家の監修によるインテリジェンスアナリスト養成トレーニングや、導入に向けたコンサルティングサービスも提供しております。
最後に:ツール、サービスのご紹介
以上、脅威インテリジェンスの活用例と、活用のヒントを簡単ながらまとめてみました。
マキナレコードは、サイバーインテリジェンス業界の最先端の海外パートナーと提携し、脅威インテリジェンスツールや、インテリジェンス導入のためのトレーニングやコンサルティングを提供しております。これまで、国内の官公庁様や上場企業様など、多くのお客様のご支援をさせて頂いております。
最後に、弊社にて提供しているツールやサービスを、以下にご紹介します。
Silobreaker
Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。
以下の画像は、Silobreakerの操作画面(ダッシュボード)です。このダッシュボードを使って「重大かつ悪用可能なCVE」に関するトレンドを追跡することが可能です。
Flashpoint / VulnDB
Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティにおけるアクターの議論や、漏えいクレデンシャル、ランサムウェアのリークサイトなどをモニタリングできます。また、Flashpointの一機能として、CVE/NVDにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベース(VulnDB)をご利用いただけます。
ReGemini(漏洩カード情報に特化)
不正に取得・盗難されたクレジットカード情報をモニタリングするプラットフォームです。
Anomali(Threat Intelligence Platform)
上記のような脅威インテリジェンスフィードなど、様々なソースからの情報を1か所に集約します。集約した情報を自社のセキュリティシステム(SIEMやファイアウォールなど)と連携させて、サイバー脅威への自動対応を行うことも可能です。詳しい機能と活用事例については、関連記事(Anomaliにできること 活用事例)でご紹介しています。
Recorded Future(Attack Surface Intelligence)
Recorded Futureのアタックサーフェス・インテリジェンス(ASI)機能は、アタックサーフェスの絶え間ない変化を捉え、脆弱なアセットにリスクスコアを付与して対処の優先順位を示します。
マネージドサービス
お客様に代わり、マキナレコード社の実績のあるアナリストが個別の要件に基づいて監視/通知/運用を行うサービスです。
対象となるお客様例
・セキュリティ運用業務の人的リソースが不足している
・自社に対する脅威情報/漏洩認証情報の監視ができていない
・レポートの作成に時間がかかっている
・検知はできているが、分析や関連情報の収集まではできていない
提供サービスの例
・企業ドメインの漏洩認証情報監視
・脆弱性情報の収集
・特定業界に対するサイバー攻撃トレンドの把握
・ブランドプロテクション
(模倣サイトやフィッシングサイトの検知、テイクダウン支援等)
・地政学的リスクモニタリング
etc.
インテリジェンストレーニング
脅威インテリジェンス初学者を想定したマキナレコード独自の教育プログラムです。
業務として脅威インテリジェンスに携わる場合の具体的なイメージの理解や、人員要件から、自組織で収集するべき情報の特定や、分析するための手法、ツールのハンズオントレーニング(オプション)など、幅広く学習できる最大2日間のトレーニングコースです。
特色
・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)
・米国CISAによるNICE Frameworkへのアダプト
・ハンズオントレーニングを含む2日間のトレーニング
学習する項目
・インテリジェンスサイクルの理解
・脅威の定義
・データソースの特徴
・要件定義の仕方
・情報収集とは
・分析ツール、各種フォーマット
コンサルティング(インテリジェンスの導入支援)
インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。
対象となるお客様例
・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない
・情報が散在しており、活用しきれていない
・どういった情報があつめられ、どのように活用すればいいかがわからない
サービス内容例
・要件定義の策定支援
・インテリジェンスを始めるにあたっての基礎トレーニング
・必要なツールの選定
・インテリジェンスを活用するためのレポーティング手法
・他サービスとのインテグレーション
・運用支援
参考資料
[1] 脅威インテリジェンスの定義については諸説ありますが、本記事では以下の資料を参考にしました。
FIRST Cyber Threat Intelligence SIG, Introduction to CTI as a General topic
Cyber Threat Intelligence is systematic collection, analysis and dissemination of information pertaining to a company’s operation in cyberspace and to an extent physical space. It is designed to inform all levels of decision makers.
The analysis is designed to help keep situational awareness about current and arising threats.
[2] 経済産業省,「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました (METI/経済産業省)
Writer
一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳を担当。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。