脅威インテリジェンスとは何か？　その種類と重要性

脅威インテリジェンス（Threat Intelligence、読み「スレット・インテリジェンス」）という言葉が、日本のセキュリティ業界にも浸透してきました。しかし、そもそも脅威インテリジェンスとは何でしょう？　IoC（Indicator of Compromise）や脅威情報とは違うのでしょうか？　この記事では、2016年から海外のインテリジェンス商材を国内に紹介してきたマキナレコードが「脅威インテリジェンスとはどんなものか」「脅威インテリジェンスがなぜ重要か」について、まとめてみました。

脅威インテリジェンスとは

脅威インテリジェンスとは、「脅威情報のうち、意思決定プロセスに必須のコンテキスト（context）を提供するように、集約、変形、分析、解釈、または補強されたもの」を指します。なお、脅威情報（Threat Information）とは、情報セキュリティ関連の脅威に関するあらゆる情報で、脅威に対する自衛やアクターによる活動の検知を行う上で、役立つ可能性のあるものを指します。例えば、サイバー攻撃の痕跡情報（indicator）、攻撃者の習性（TTP）、セキュリティアラート、脅威インテリジェンスレポート、ツール構成などです[*1]。これらの情報（information）は、分析され、「意味」や「だから何？」（＝コンテキスト）が付加されることで、インテリジェンスへと変化します。

画像：データ、インフォメーション、インテリジェンスの違い（イメージ）

脅威インテリジェンスは、差し迫ったリスクから防御するために活用されるほか、中長期的な防御計画の策定に関する意思決定プロセスにも役立ちます[*2]。差し迫ったリスクからの防御に活用されるものの例としては、攻撃者の用いるマルウェアの情報（ハッシュ値やファイル名）、IPアドレス、ドメインが挙げられます。中長期的な防御計画の策定に役立つ情報の例としては、攻撃者の使用するツールやTTPなどが挙げられます。

ちなみに、インテリジェンス（intelligence）という言葉には、「秘密の情報のうち、たとえば外国、特に敵国について収集されるもの、もしくは、その情報を収集する人」という意味があります。「脅威インテリジェンス」という時の「インテリジェンス」も同様で、「敵＝サイバー攻撃者の情報」や「敵＝攻撃者から見た自分の組織に関する情報」といった意味合いを持っています。

なお、脅威インテリジェンスは英語で、“Threat Intelligence”のほかに、“Cyber Threat Intelligence”とも呼ばれることがあります。

脅威インテリジェンスの具体例：3つのタイプ

画像：脅威インテリジェンスの3分類とその具体例（情報源：弊社ホームページ）

では、脅威インテリジェンスとは具体的にどんなもので、どんな場面で役立つのでしょうか？　先に述べた通り、脅威インテリジェンスは、差し迫ったリスクからの防御と、中長期的な防御計画の策定に活用できます。そして、これらの活用目的に応じて、脅威インテリジェンスの姿は異なってきます。大まかに3つのタイプに分類されます。つまり、①組織の幹部が活用することを想定した「戦略インテリジェンス」、②セキュリティチームのマネージャー層が活用することを想定した「運用インテリジェンス」、③SOC（Security Operation Center）が活用することを想定した「戦術インテリジェンス」、の3つです。

関連記事：CSIRTとは？役割やSOCとの違い、構築のプロセスについて解説

①戦略インテリジェンス：利用者は幹部、非技術的

1つ目は戦略インテリジェンス（Strategic Intelligence）です。想定される利用者は、CISO含む組織の幹部です。具体例としては、「ある侵入やデータ漏洩の犯人特定（アトリビューション）」「アクターグループの傾向」「標的に関する産業部門・地理ごとの傾向」「サイバー攻撃が地政学的な対立・事象の中に占める位置付け」「データ漏洩、マルウェア、情報窃取に関する世界的な統計」「主要なTTPの変化」があります。戦術、運用インテリジェンスよりも俯瞰的な情報で、非技術的な情報を多く含みます。用途としては、経営層へのリスク周知、リスク分析、セキュリティに関する投資判断の支援などが考えられます。そして、その利用価値は長期的なものになります。

ランサムウェアRevilに関する戦略インテリジェンスの例（情報源：Flashpoint）

・Revilは、独立国家共同体（CIS）諸国とウクライナにあるコンピューターには感染しない（ジオロケーションモジュールを使用）ことから、オペレーターはロシア、ウクライナ、その他CIS諸国のいずれかにいる可能性がある

・2022年1月14日、ロシアFSBがREvilのメンバー数人を逮捕したと発表

・Revilの主な目的は金銭の恐喝

②運用インテリジェンス：利用者はマネージャー層、技術+非技術

2つ目は運用インテリジェンス（Operational Intelligence）です。想定される利用者は、セキュリティチームのマネージャーなどです。具体的な情報としては、「特定の脅威グループに関連したツール」「ファイル命名規則、ポート、プロトコル、好んで使用するファイルタイプなど、特定の脅威グループのTTP」「新たなTTP」があります。戦術インテリジェンスよりも一歩抽象的になり、技術的な情報と非技術的な情報の両方を含むようになります。

用途としては、インシデントレスポンス計画や被害の緩和技術の改善などが考えられます。また一般的に、ツールやTTPを攻撃者が変えることは難しいとされています（これに対し、後述する戦術インテリジェンスにおけるハッシュ値やドメインは攻撃者に使い捨てにされやすいとされています）。よって、運用インテリジェンスの利用価値は中期的なものになります。

関連記事：「ピラミッドオブペイン」とは？　脅威情報をもっと有効活用するための考え方

ランサムウェアRevilに関する運用インテリジェンスの例（情報源：Flashpoint）

・初期アクセス（Initial Access）に、保護されていないRDPポートや脆弱性（CVE-2019-2725やCVE-2018-8453など）を利用

・マルウェアIcedIDを用いて感染

・パスワード変更後、Windows Safe Modeを用いて暗号化を自動化

③戦術インテリジェンス：利用者はSOC、技術的

戦術インテリジェンス（Tactical Intelligence）の利用者として想定されるのは、SOC担当者です。マルウェアのハッシュ値、攻撃者の用いるIPアドレスやドメイン、有害なメール添付ファイルの名前といったデータ（Observables）にコンテキストを付与した情報（IoC）が、戦術インテリジェンスに含まれます。かなり具体性が高く、また技術的な情報だということがお分かりかと思います。用途としては、導入済みのセキュリティソリューションに読み込ませて脅威の予防や検知に使う、といったものが想定されます。

なお、ハッシュ値は簡単に変更でき、IPアドレスやドメインなどはすぐに使い捨てされるため、戦術インテリジェンスを予防や検知に役立てる際は、迅速に行う必要があります。

関連記事：「ピラミッドオブペイン」とは？　脅威情報をもっと有効活用するための考え方

よって戦術インテリジェンスは、短期的な利用価値を持つと言え、多くの場合、AIなどの技術を用いた自動的なツールやプロセスに組み込まれて活用されます。

ランサムウェア「Revil」に関するIoCの例

インジケーター：db2401798c8b41b0d5728e5b6bbb94cf

タイプ：MD5ハッシュ

コンテキスト：2022年3月のランサムウェアREvilのサンプル

インジケーター：ad49374e3c72613023fe420f0d6010d9

タイプ：MD5ハッシュ

コンテキスト：2022年4月のREvilのサンプル

インジケーター：blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion

タイプ：ドメイン名

コンテキスト：2022年4月のREvilのリークサイト

インジケーター：landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad.onion

タイプ：ドメイン名

コンテキスト：2022年4月のREvilの身代金支払いサイト

なぜ脅威インテリジェンスは重要なのか？

ここまで、脅威インテリジェンスがどんなものかを説明してきました。では、なぜここ数年のうちに、急に脅威インテリジェンスが日本にも広まり、さまざまなベンダーが脅威インテリジェンスの製品を提供するようになってきたのでしょうか？　なぜ脅威インテリジェンスは重要なのでしょうか？

巧妙化する攻撃者たち

攻撃者は目的の達成を図るため、標的の弱点や悪用できる情報をよく調べた上で攻撃を行うことがあります（標的型攻撃）。例えば、ポートスキャンにより脆弱なシステムを発見したり、企業サイトや従業員のSNSから収集した情報などを元に、従業員が騙されやすいフィッシングメールを作成したりします（OSINT）。もっとも、このような高度な攻撃にはハッカーとして一定の熟練度が必要です。一方で、熟練度の低い攻撃者でも攻撃を行いやすい環境が整っています。ダークウェブなどの地下コミュニティでは、攻撃の代行サービスやツールセット、攻撃に悪用できる脆弱性や情報（例：アカウント情報など）が売買・レンタルされています。

関連記事：

・OSINTとは？　活用方法、ツール、注意すべき点

・誰がサイバー攻撃を仕掛けるのか？　日本を狙う11の主な攻撃グループ

・ダークウェブとは？何が行われている？仕組みから最新動向まで

守る側の課題

データの氾濫

一方で、守る側も攻撃者の情報を集めることができます。例えば、攻撃者はマルウェアのファイルや通信のログなどの形で、攻撃の痕跡を残していきます。他社のインシデントに関する痕跡情報も、セキュリティベンダーのレポートや、各業界内の情報共有（ISACなど）を通じて入手できることがあります。また、深刻な脆弱性の情報は、JVN、NVD、米CISAのKnown Exploited Vulnerabilities CatalogといったWeb上の情報源から、容易に集められます。

しかし、Web上の情報は豊富な反面、量が多すぎます。対策に役立てるには、収集から分析、優先順位づけを効率的に行う必要があります。また、近年の多くのサイバー攻撃は分業体制で行われ、攻撃で使われるハッキングサービスやマルウェア、企業の漏洩認証情報はダークウェブや匿名のチャット上で取引されます。これらの情報ソースは、一般企業が独力で収集することはもとより、アクセスすることすら困難です。

アタックサーフェスの拡大

また、守る側では、自社の脆弱なシステムや貴重なデータを把握することすら困難になってきています。DXやリモートワークに伴うデジタル資産の増加や、サプライチェーンの複雑化に伴い、攻撃対象となる領域＝アタックサーフェスは拡大しており、企業を悩ませています。

関連記事：アタックサーフェスとは？　具体例や管理のポイント

脅威インテリジェンスで多様なデータを効率的に活用

このように、守る側のリソースは、守るべき資産の量や攻撃者のリソースに圧倒されています。そして、2016年ごろに米国で普及し始めたと言われる脅威インテリジェンスやその関連ツールは、まさに上記のような事情の中で必要とされ、発展してきました[*3]。

一般に「脅威インテリジェンスツール」と呼ばれるものは、膨大なデータ（ダークウェブを含むことあり）を1か所に収集し、人が分析しやすい形へ整理する作業を自動で行います。また、「脅威インテリジェンスプラットフォーム（TIP：Threat Intelligence Platform）」と呼ばれるツールは、得られたインテリジェンスをSIEMやファイアウォールなどと連携して、対策まで自動で行います。これらのツールでは、組織内での共有に役立つアラート機能や、攻撃者に関するデータベースやレポートが使えるほか、アナリストによる分析を依頼できることがあります。

また、脅威インテリジェンスを活用するプロセスを体系化した「インテリジェンスサイクル」（下図）をはじめとして、意思決定に役立つ情報提供を行うためのノウハウは数多く蓄積されています。

このように、脅威インテリジェンスという情報そのもの、その生成プロセス、ツール、活用のための体系知は、脅威情報を網羅的に集め、迅速かつ効率的に活用する上で役立ちます。

画像：インテリジェンスサイクルの図。単なる調査ではなく、このサイクルを回して、必要であれば改善していくことが重要。

最後に：脅威インテリジェンスツール、サービスのご紹介

ここまでの説明で、脅威インテリジェンスとはどんなものか、なぜ重要なのかを、ざっくりとお分かりいただけたなら幸いです。脅威インテリジェンスを活用することは、すなわち、自社のセキュリティ上の弱点や自社を取り巻く脅威、攻撃者の手口といった情報を攻撃の未然防止や被害の緩和につなげるプロアクティブなアプローチです。現代の巧妙化したサイバー脅威から組織を守る上で、脅威インテリジェンスは強力な「武器」となるはずです。

弊社マキナレコードでは2016年から、脅威インテリジェンスのツールを日本のお客様に提供してまいりました。現在、脅威インテリジェンスフィードやTIPなどのツールのほか、ツールをお客様に代わって運用するマネージドサービス、インテリジェンス担当者養成のためのトレーニング、インテリジェンスの導入支援を行うコンサルティングサービスを提供しております。

関連記事：脅威インテリジェンスの活用方法、製品・ツールを比較する際のポイント

ツール（OSINT系）

Silobreaker

Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形（グラフ、マップなど）に処理した上で表示します。

【用途（例）】

・脆弱性情報の収集

・ブランド保護（模倣サイト、フィッシングサイトの検知やテイクダウン）

・OSINT（競合他社のインシデント情報、業界に対するサイバー攻撃トレンドの把握）

・情報セキュリティ以外のビジネスリスクインテリジェンス（支社等の拠点を置く国家の情勢、各国の規制、事業戦略に関する調査や分析）

画像：Silobreakerの画面例。フィッシングに関するオープンソース情報の収集と分析の自動化を目的としたこちらのダッシュボードでは、フィッシングに用いられているURLやIPアドレスのトレンド情報や最新の関連記事が更新表示されます。

ツール（DDW系）

Flashpoint

ディープ・アンド・ダークウェブ（DWW）やチャットサービスをはじめとする「不法コミュニティ（Illicit Community）」のモニタリングに特化した検索・分析ツールです。

【用途（例）】

・従業員/顧客の認証情報や機密情報の漏洩の監視

・DDWトレンドの監視（アクター情報、脆弱性情報/PoC、IoC、インサイダー脅威など）

ReGemini（漏洩カード情報に特化）

不正に取得・盗難されたクレジットカード情報をモニタリングするプラットフォームです。

【用途】クレジットカード漏洩の監視

ツール（Threat Intelligence Platform）

Anomali

上記のような脅威インテリジェンスツールなど、さまざまなソースからの情報を1か所に集約します。集約した情報を自社のセキュリティシステム（SIEMやファイアウォールなど）と連携させて、サイバー脅威への自動対応を行うことも可能です。詳しい機能と活用事例については、関連記事（Anomaliにできること　活用事例）でご紹介しています。

【用途（例）】セキュリティ脅威への自動対応、脅威ハンティング、フォレンジックなど

マネージドサービス

お客様に代わり、マキナレコード社の実績のあるアナリストが個別の要件に基づいて監視/通知/運用を行うサービスです。

対象となるお客様例

・セキュリティ運用業務の人的リソースが不足している

・自社に対する脅威情報/漏洩認証情報の監視ができていない

・レポートの作成に時間がかかっている

・検知はできているが、分析や関連情報の収集まではできていない

提供サービスの例

・企業ドメインの漏洩認証情報監視

・脆弱性情報の収集

・特定業界に対するサイバー攻撃トレンドの把握

・ブランドプロテクション

（模倣サイトやフィッシングサイトの検知、テイクダウン支援等）

・地政学的リスクモニタリング

etc.

インテリジェンストレーニング

脅威インテリジェンス初学者を想定したマキナレコード独自の教育プログラムです。

業務として脅威インテリジェンスに携わる場合の具体的なイメージの理解や、人員要件から、自組織で収集するべき情報の特定や、分析するための手法、ツールのハンズオントレーニング（オプション）など、幅広く学習できる最大2日間のトレーニングコースです。

特色

・Laith Alkhouri氏による監修（Flashpoint創業者、対テロリストインテリジェンス専門家）

・米国CISAによるNICE Frameworkへのアダプト

・ハンズオントレーニングを含む2日間のトレーニング

学習する項目

・インテリジェンスサイクルの理解

・脅威の定義

・データソースの特徴

・要件定義の仕方

・情報収集とは

・分析ツール、各種フォーマット

関連記事：脅威インテリジェンス・アナリストは何をするのか？CTIプログラムに命を吹き込む、インテリジェンスのプロの仕事

コンサルティング（インテリジェンスの導入支援）

インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。

対象となるお客様例

・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない

・情報が散在しており、活用しきれていない

・どういった情報があつめられ、どのように活用すればいいかがわからない

サービス内容例

・要件定義の策定支援

・インテリジェンスを始めるにあたっての基礎トレーニング

・必要なツールの選定

・インテリジェンスを活用するためのレポーティング手法

・他サービスとのインテグレーション

・運用支援

参考

[*1] NIST, 2016, “NIST Special Publication 800-150, Guide to Cyber Threat Information Sharing”

[*2] Flashpoint, 2021, “Guide to Cyber Threat Intelligence: Elements of an Effective Threat Intel and Cyber Risk Remediation Program”

[*3] 脅威インテリジェンスの歴史については、以下のサイトなどを参考にしました。

・Anomali, 2016, “A Brief History of Threat Analytics”

・Kaspersky, 2020, “How threat intelligence evolved, and where it will go next”

・Cyware, 2021, “The Evolution of Threat Intelligence”

サイバー脅威インテリジェンスの要件定義ガイド、無料配布中！

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価