脅威インテリジェンス・アナリストとは?
強力な脅威インテリジェンス・プログラムは、顧客やユーザー、データ、資産、インフラ、従業員に危害を加える攻撃に対する最も重要な防御線です。質の高いインテリジェンスはもちろん重要ですが、いくら質の高い脅威インテリジェンスでも、攻撃を未然に防ぐためどこに力を注ぐべきか、リスクを一番抑えられる方法は何なのかをセキュリティチームが理解する手助けをしてくれるプロフェッショナルの存在なくしては、役に立たないことがあります。
脅威インテリジェンス・アナリストは、脅威インテリジェンス・プログラムから得られる情報(現在進行形の脅威から潜在的なセキュリティ上の弱点まで)の全てを駆使し、防御チームが重大リスクや見逃されそうなリスクをより適切に狙い撃ちするために活用できる計画を作ります。脅威インテリジェンス・アナリストがいなければ、インテリジェンスは単なる脅威情勢の概観に過ぎません。脅威インテリジェンス・アナリストがいることで、インテリジェンスは組織の資産、インフラ、従業員の安全を保ち得る強力なツールとなるのです。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2022年4月13日付)を翻訳したものです。
役割と責務
Security operations center(SOC)
不正防止・リスク分析チーム
セキュリティ、IT、インテリジェンス・アナリスト
CSIRT/CERT
幹部
脅威インテリジェンス・アナリストは何をするのか?
脅威インテリジェンス・アナリストは、脅威情勢全体に関わる背景知識と分析スキルを駆使し、集めた情報をもとに、組織に影響を与えかねないリスクの監視、評価、報告を行います。非公開データの収集からオープンソースインテリジェンス(OSINT)の評価まで、さまざまな情報源の統括を行うことで、組織が抱えるリスクの現状の全体像を描き、企業はこの全体像を参考にリスクを最小化するための行動を取ります。脅威インテリジェンス・アナリストは短期的評価と長期的評価を提供し、脅威という観点から何を予想すべきかや、将来の攻撃や侵害の先手を打つために何ができるかを、セキュリティチームがより良く理解できるようにします。
脅威インテリジェンス・アナリストの価値の多くは、差し迫った脅威や攻撃に後追いで対処するのとは対照的な、将来のリスクに対する識見から生まれます。このため、最新のサイバーセキュリティ事情に精通し、今後何が起こるかを知ることもアナリストの責務です。理想を言えば、優秀な脅威インテリジェンス・アナリストとは、将来発生し得る脅威について、それが懸念材料にすらならないうちに組織に警鐘を鳴らし、チームに守りを固めるための時間を与えられる存在です。
役割と責務
脅威インテリジェンス・アナリストは技術的スキルと同じくらい、コミュニケーションスキルも発揮します。そして、組織のセキュリティ対策を目に見える形で強化する上で、戦術寄りのプロ(例えばハント・アナリストやペネトレーション・テスター)に何ができるかを絞り込むことを中心に、幅広い役割を担います。
また脅威インテリジェンス・アナリストは、脅威インテリジェンス・ライフサイクルの全体を監督する責務を負うのが最も一般的です。その具体的な責務として、以下のものが挙げられます。
・組織のインテリジェンス要件を明確化する
・関連するデータを収集し、あらゆる情報源を使った分析を行い、意思決定プロセスの参考となる情報を提供する
・潜在的な脅威や弱点を発見、監視、評価する
・セキュリティ関連の認証や要件を満たしていることを確認する
・セキュリティチームや組織の他のメンバーのために、重要な所見を前面に出したレポートを作成する
・他のチームに所見を提供し、脅威を軽減するための対抗策を提案する
脅威インテリジェンス・アナリストの経歴とスキル
脅威インテリジェンス・アナリストには、さまざまな経歴の持ち主がおり、職位も初級から上級まであります。職務次第では、他の領域(例えば、IT一般、ネットワークセキュリティ・システム、その他サイバーセキュリティ関係の役職)での経験がほとんどなくても、脅威インテリジェンス・アナリストになることは可能です。ただし、これらの領域での職務経験は、アナリストの仕事に活きる基礎的な知識を作るため、識見や評価を充実したものにする上で役立ちます。
上席の脅威インテリジェンス・アナリストには、分析の質の向上に役立ち、組織を取り巻く脅威情勢について、よりバランスの取れた見方をするのに役立つ、何らかの経験が必要な場合があります。技術的知識も、通常は脅威インテリジェンス・アナリストに必須のものではないものの、持っておいて損はしません。アナリスト業務の中では、技術的知識を全く持たないようなチームに、脅威やその他の所見を説明しなければならない場面があることが、その理由の一つです。
経験に関係なく、全ての脅威インテリジェンス・アナリストにとって分析の大部分は、ある所見を、組織が攻撃防止のために取ることのできる行動に直結するような簡潔な識見へとまとめ上げる作業です。上手く伝える力は、アナリストが習得できる最重要スキルの1つです。アナリストの所見は、理解でき実行できるものであって初めて、チームにとって価値を持つためです。
脅威インテリジェンス・アナリストとハント・アナリストの違い
脅威インテリジェンス・アナリストとハント・アナリストの説明には似通ったところがあるため、両者を区別することは難しいかもしれません。確かに2つの役職は密接に連携し、データ収集から特定の戦術の実施に至る、脅威インテリジェンスと防御の全体をカバーします。一方で、いくつか注意すべき重要な区別があります。
脅威インテリジェンス・アナリストが行うのは、情報収集から情報の配布までのあらゆることです。最も重要な脅威インテリジェンスの識見を引き出して、これを脅威ハンターのチームに伝えます。そして脅威ハンターたちは、この識見に基づいて行動し、今まさに組織を攻撃に対して脆弱にしているセキュリティ上の弱点が、検知されずに突破されるところを見つけ出します。脅威インテリジェンス・アナリストなしでは、脅威ハンターたちがどこから探索を始めるべきかを知るのは困難になってしまいます。同様に、脅威インテリジェンス・アナリストの仕事の意義は、それを行動に活かしてくれる脅威ハンターがいなければ、小さいものとなるでしょう。
脅威インテリジェンス・アナリストは組織に何をもたらすか?
脅威インテリジェンス・プログラムが存在するのであれば、それに命を吹き込む脅威インテリジェンス・アナリストは必須です。アナリストの存在により、他のチームの業務が改善され、組織の安全性が向上します。
Security operations center (SOC)
サイバーセキュリティは組織にとって投資するに値する領域だという認識が広まる中、企業のセキュリティ体制(人、手順、技術)を管理する、専門のセキュリティ・オペレーション・センターを設置することが、ますます一般化しています。
脅威インテリジェンス・アナリストは、SOCの戦略的能力を高めます。これによりチームの他のメンバー(例えば、ペネトレーション・テスターや脅威ハンター)は、自らの戦術的な業務を正しい領域に振り向けることができます。SOCが潜在的脅威に関する正しいアラートを受け取っている場合でも、アラートに適切な優先順位を付けて弱点を探すべき場所を知ることが困難なことは多々あります。脅威インテリジェンス・アナリストは、組織が使うセキュリティ・プラットフォームの価値を最大化し、チームが最も差し迫った問題に最優先で取り組めるように支援します。
不正防止・リスク分析チーム
脅威の全体像に関するコンテキスト(背景情報)や脅威インテリジェンスに関する一般的な知識から利益を享受するチームは、脅威インテリジェンス・アナリストから、TTP、リスクに晒される標的、組織に損害を与え得る攻撃の可能性に関する識見を得ます。
セキュリティ、IT、インテリジェンス・アナリスト
脅威インテリジェンス・アナリストは、脅威を正確に検知し予防するための他のアナリストの能力を強化します。これにより、攻撃に対する防御の成功率を高めます。また、既存のプロセスをより効果的となるように最適化し、組織の将来のセキュリティに長期的な影響を与えます。
CSIRT/CERT
インシデント・レスポンス・チームが脅威に気づき、組織に影響を与えている出来事を発見した際、脅威インテリジェンス・アナリストは、損害を最小限に抑えて解決を早めるためにどの調査を優先するべきかについて助言することができます。これにより、調査プロセスの効率は上がり、チームはインシデントをより適切に管理できるようになります。
幹部
脅威インテリジェンス・アナリストは、組織のリスクを、毎日脅威に直接関わっているわけではないチームに伝えることも求められています。最高責任者などの幹部が、リスクから自社を防御するため、会社の態勢をどのように整えるのがベストかを検討する際、脅威インテリジェンス・アナリストは、組織が対応を迫られているものと、それに対処する最善の方法を幹部が理解するのを助けることができます。他のタイプのセキュリティ専門職と比較すると、脅威インテリジェンス・アナリストの価値の大部分は、単なる対処能力ではなく、戦略を練る能力で占められます。
サイバーリスクの発見と緩和はFlashpointで
不法コミュニティ内の最新の動向を常に把握しましょう。そして、新たな脆弱性、セキュリティ・インシデント、ランサムウェア攻撃を発見し、自社の資産、利害関係者、インフラを保護しましょう。デモまたは無料トライアルにて、Flashpointの包括的コレクション・プラットフォームや、ディープウェブ上のやり取り、ダークウェブ・モニタリングツールを実際に見てみませんか。
日本でのFlashpointに関するお問い合わせについて
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
詳しくは以下のフォームからお問い合わせください。
インテリジェンス担当者養成のためのトレーニングも提供
また、弊社マキナレコードでは、インテリジェンス担当者養成のためのトレーニングを提供しております。
インテリジェンストレーニング
脅威インテリジェンス初学者を想定したマキナレコード独自の教育プログラムです。
業務として脅威インテリジェンスに携わる場合の具体的なイメージの理解や、人員要件から、自組織で収集するべき情報の特定や、分析するための手法、ツールのハンズオントレーニング(オプション)など、幅広く学習できる最大2日間のトレーニングコースです。
特色
・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)
・米国CISAによるNICE Frameworkへのアダプト
・ハンズオントレーニングを含む2日間のトレーニング
学習する項目
・インテリジェンスサイクルの理解
・脅威の定義
・データソースの特徴
・要件定義の仕方
・情報収集とは
・分析ツール、各種フォーマット
サイバー脅威インテリジェンスの要件定義ガイド、無料配布中!
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
関連投稿
Writer
2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。日本翻訳連盟「JTFほんやく検定」2級取得。