昨今、セキュリティ組織やアナリストは高度化するサイバー脅威に対処するため、各種セキュリティ機器が検知した情報を、外部から収集した情報と統合して分析することが求められています。一方で、そうしたさまざまな形式の大量の情報を、タイムリーに扱うための人的リソースを確保しにくいという課題があります。
このため、脅威に関する多様かつ大量の情報を自動で収集・分析し、出来上がったインテリジェンスの共有まで行うツールが欠かせなくなってきています。そこで大いに活用できるのが、脅威インテリジェンスプラットフォーム(TIP)です。TIPとは一体どのようなものなのでしょうか? 本記事ではTIPについて解説し、その他のセキュリティ機器との違いや関連性、TIPの活用例についても触れていきます。
- TIPが求められる背景
- SIEMやSOARとの違い、TIPとの関連性
- SIEMとTIP
- SIEMとは
- SIEMとTIPの違い・関連性
- SOARとTIP
- SOARとは
- SOARとTIPの違い・関連性
- SIEMとTIP
- EDRやファイアウォール、IDSとの違い、TIPとの関連性
- EDRとTIP
- ファイアウォールとTIP
- IDSとTIP
- 誰が何のために使うのか
- SOCにおける活用例
- CSIRTにおける活用例
- インテリジェンスチームにおける活用例
- Anomali
1, 脅威インテリジェンスプラットフォーム(TIP)とは?
脅威インテリジェンスプラットフォーム(Threat Intelligence Platform)は、組織内外のサイバー脅威情報の収集・処理・分析・配布のプロセスを自動化するツールです。TIP(ティップ)と呼ばれることもあります。TIPには一般的に以下のような機能が備わっています。
・データの集約:組織内部のセキュリティ機器などから収集したデータを一箇所に集約しつつ、同時に他社の攻撃で利用された攻撃の痕跡データなど、組織の外部のデータを集約する。
・正規化および重複したデータの排除:収集するデータにはさまざまな形式があり、重複したデータも含まれるため、共通の形式に変換し、重複を排除する。
・分析および加工:収集したデータを分析して、組織に役立つインテリジェンスやレポートに変換する。組織が潜在的な脅威を素早く特定できるように、侵害インジケーター(IoC)を生成する場合もある。
・統合/共有:分析により得られた情報を一元的に管理し、セキュリティ機器に自動的に反映させてサイバー脅威の検知や防御を強化したり、関係者との情報共有を円滑にしたりするのに役立つ。
セキュリティ担当者はこれらの機能を活用することで、膨大な量の情報を収集・処理・分析・配布するプロセスを効率化できます。
TIPが求められる背景
近年のサイバーセキュリティにおける共通の課題として、攻撃の高度化、大量の脅威情報の存在、セキュリティ人材の不足が挙げられます。
大量の脅威情報は、高度化する攻撃を少しでも早く検知、防御、阻止する上で極めて有用です。一方で、脅威情報の活用に欠かせない収集・処理・分析・配布のプロセスを人手で行うには、あまりに多くの時間と手間がかかります。これでは、既に不足している人的リソースを一層圧迫するのみならず、情報を分析・配布した時には「時すでに遅し」となりかねません。
TIPにより、データの収集と処理、分析(の一部)、配布が自動化され、アナリストの負荷が軽減されます。また、脅威情報を最大限に活用できるようになり、高度化する攻撃への対処能力を身につけることにも繋がります。
2, 他のセキュリティ機器との関係
SIEMやSOARとの違い、TIPとの関連性
次に、TIPとそれ以外のセキュリティ機器・ツールとの関係性について見ていきましょう。まず、TIPと混同されがちなセキュリティツールとして、SIEMとSOARがあります。さまざまなデータを一箇所に集約して取り扱うことができる点や、各種ツールを自動かつ一元的に管理できる点などの共通点もありますが、それぞれTIPとはどう異なるのでしょうか?また、TIPとの統合や併用は可能なのでしょうか?
SIEMとTIP
SIEMとは
SIEM(Security Information and Event Management)は、サイバーセキュリティの監視・検出・調査を行うためのソリューションです。セキュリティ製品・ネットワーク製品などからログやデータを一元的に収集し、それらの相関分析を行って、異常なパターンや攻撃の兆候を検出します。また事前に設定されたルールに基づいて異常なアクティビティなどを検出し、アラートを通知。インシデントに素早く対応するための手順や情報を提供します。
<SIEMの主な機能>
・組織内のファイアウォールやプロキシなどから収集した情報を関連付けて、異常なパターンや攻撃の兆候を検出する。
・事前に設定されたルールに基づいて異常なアクティビティを検出し、アラートを強化する。
・インシデントに素早く対応するための手順や情報を提供する。
SIEMとTIPの違い・関連性
以下の表は、SIEMとTIPとの違いについてまとめたものです。
<SIEMの課題>
・脅威のパターンなどを把握するためにデータを長期間保有することが難しい。
・大量の情報を関連付けて処理するものの、情報の重複や誤検出が多発しがちである。
・あらかじめ設定したルールに基づいてアラートを生成するため、高度かつ未知の脅威を検知するのが難しい。
<SIEMとTIPを統合すると>
・TIPから脅威に関するさまざま情報が豊富に得られるので、攻撃のタイプだけでなく、脅威に関する背景情報も知ることができる。
・大量かつ多様な情報を一元管理できるTIPとの連携により、SIEMにおける情報の重複や誤検出を抑えられる。
・TIPが生成したIoCに基づき、高度かつ未知の脅威を迅速に検知・ブロックできる。
SOARとTIP
SOARとは
SOAR(Security Orchestration, Automation and Response)とは、組織のセキュリティに関するワークフローを自動化・効率化することを目的としたクラウドベースのセキュリティソリューションで、ガートナー社が提唱した用語です。SOARを使うことで、インシデントの一次対応における作業品質を均一化し、セキュリティ人材の不足を補うことができます。これにより、高度な専門知識を必要とするインシデントにリソースが割けるようになります。
<SOARの主な機能>
SOARは主に3つの要素で構成されています。
①SOA(Security Orchestration and Automation):「プレイブック」と呼ばれる運用フローをあらかじめ定義することで、インシデント発生時の対応を自動化できる。また、ファイアウォールやEDRなど組織内のさまざまなセキュリティソリューションと連携させることで、ツールを横断したログの取得・分析ができる。
②SIR(Security Incident Response platform):インシデントの対応状況や関係者間のやり取りなどを同一のプラットフォームで管理できる。
③TIP(Threat Intelligence Platform):組織内の各種セキュリティ機器や外部から得た情報を一元管理できるほか、インシデント対応やセキュリティ機器との連携に役立つ。
SOARとTIPの違い・関連性
SOARとTIPの違いや共通点については、以下の通りです。
<SOARとTIPを統合すると>
TIPが提供する最新の脅威情報を適用することで、潜在的な脅威への対応が可能に:TIPが組織内外の大量の情報を収集・処理・分析して生成した脅威インテリジェンスをSOARに取り込めば、SOARは潜在的な脅威への対応力もつけることができます。また、TIPから得られる情報に応じてあらかじめプレイブックを充実させておくと、セキュリティ対策の効果が高まります。
EDRやファイアウォールやIDSとの違い、TIPとの関連性
このほか、エンドポイントやネットワークを保護するためのツール/ソリューションとして代表的なものに、EDRやファイアウォール、IDSがあります。いずれも脅威の監視や検知、ブロックに重点を置いたものである点が、脅威情報の収集・処理・分析・配布にフォーカスしているTIPとの大きな違いです。一方で、TIPと統合または連携させることで、より防御力を高められるというメリットもあります。EDR、ファイアウォール、IDSそれぞれについて、TIPとの関係性を見ていきましょう。
EDRとTIP
EDR(Endpoint Detection and Response)は、PCやサーバーなどのエンドポイント上における不審なアクティビティ(振る舞い)を検知し、迅速な対応を支援するツールです。ネットワークに繋がった端末をリアルタイムで監視し、収集したログを分析してサイバー攻撃の兆候を検知します。また攻撃を受けたと判断された場合、その影響範囲を特定して、システムに影響がある場合の修復方法などの提案を行います。EDRは既知の脅威に加えて、潜在的な脅威にも対応できることが大きな利点です。TIPと統合することでIoCがシステムに迅速に配布され、IoCを利用した攻撃のブロックができるほか、優先して対処すべき脅威をセキュリティ担当者に通知できるようになります。
ファイアウォールとTIP
ファイアウォールとは、あらかじめ設定しておいたルールに従って、外部から送られてくる情報を監視し、社内ネットワークに通してはいけない不正なアクセスを拒否する機能のことです。ファイアウォールの機能はソフトウェアや単体の専用機器として提供されたり、ルーターなどのネットワーク機器に実装されたりします。ファイアウォールもまた、TIPと統合することでIoCを利用した攻撃のブロックが可能になるほか、優先して対処すべき脅威をセキュリティ担当者に通知できるようになります。
IDSとTIP
IDS(侵入検知システム)とは、不審な動きをしている通信がないかどうかを監視するツールです。不正アクセスされた場合や、異常な通信があった場合にその侵入を検知して管理者に通知します。なおIDSはこういった異常事態に見舞われた際に、その事実を検知・記録して管理者に通知するだけであって、実際に不正な通信をブロックできるわけではありません。TIPと連携することで、組織に関係している可能性が高い脅威を正確に検知できるようになります。
3, TIPでできること
誰が何のために使うか
TIPのことはなんとなくわかったけれど、誰が、どのような場面で使うものなのかがイメージしづらいという方がいると思います。TIPを利用する主体はSOC、CSIRT、インテリジェンスチームなどさまざまですが、それぞれどのようにTIPを活用しているのでしょうか?
SOCにおける活用例
<SOCの概要>
SOC(Security Operation Center)は24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃を検出・分析して、インシデント対応のアドバイスを行う組織です。
<SOCの課題>
・複数の機器から膨大なログを収集して分析することになるので、人材不足に陥りがちである。
・扱う情報量が大量であるため、アラートにノイズや誤検出が多い。
・情報の優先順位づけを行うことが難しいので、インシデント発生時の対応が鈍る。
<TIPを導入すると>
・脅威情報を自動で収集・分析し、脅威インテリジェンスに優先順位をつけることができるため、リソースを節約できる。
・ノイズや誤検出を減らすことができ、新たなエクスプロイトを発見する能力が向上する。
・TIPが組織に関連する脅威をまとめたインテリジェンスやレポートを自動で生成してくれるので、情報の優先順位付けのリソースを節約できる。
・TIPから提供されるIoCやTTPに関する情報をもとに、セキュリティインフラやソリューションを自動的に強化できる。
CSIRTにおける活用例
<CSIRTの概要>
CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントが発生した場合に適切かつ迅速な対応を行うことを目的とした組織です。インシデントの検知に重点が置かれているSOCに対し、CSIRTはインシデント発生時の対応に重点が置かれています。
<CSIRTのよくある課題>
・専門性のある構成員を確保できていなかったり、インシデント対応の手順が標準化されていなかったりする場合、インシデントの調査や管理、対応の優先順位付けが難しい。
・過去のインシデントを追跡するための対応履歴がない。
・起こったインシデントや脅威に関する情報が不足し、十分な調査ができない。
<TIPを導入すると>
・取り込んだ脅威情報を基にグラフやレポートを簡単に作成できるなど、インシデント対応のサポート機能があるので、ノウハウや知識が不足していても対応しやすい。
・ダッシュボードなどを使って、脅威に関する注意喚起を効率的に行うことができる。
・自組織で分析した結果も脅威インテリジェンスの1つとして登録できるので、過去のインシデントの動機や原因、およびTTPに関する情報を広く探すことができる。
・TIPは組織内外から膨大な量のデータを自動で収集し、整理・分析を行うので、インシデントの根本原因を分析して、その影響範囲を特定するのに役立つ。
インテリジェンスチームにおける活用例
<インテリジェンスチームの概要>
インテリジェンスチームとは、組織の目標や戦略にとって重要な情報を収集・処理・分析・配布するチームのことで、組織が良質な情報に基づいた意思決定を行う上で非常に重要な役割を果たします。
<インテリジェンスチームの課題>
・取り扱う脅威情報がますます多種多様かつ膨大な量になり、手動でデータを収集したり、分析したりすることが難しい。
・収集した情報の調査、管理、関連付けにリソースを奪われ、分析やレポート作成に集中できない。
<TIPを導入すると>
・大量の脅威インテリジェンスデータの収集・処理・分析を自動で行うことができる。
・収集した情報の調査、管理、関連付けが自動で行われるので、分析やレポート作成といった高度なタスクに集中できるようになり、SOCやCSIRT、経営層といった関係者へより迅速に報告できるようになる。
・ダッシュボードやレポート作成機能を使って、脅威インテリジェンスを関係者に効率的に共有できる。
4, 最後に:TIPの具体例
以上、TIPとはどのようなツールで、誰にどんな場面で活用されているのかを簡単に解説しました。最後に、弊社で取り扱っているTIP製品をご紹介します。
Anomali
Anomaliは脅威情報の収集をはじめ、収集された情報の調査分析、さらにあらかじめ指定されたルールに則り脅威への自動対応を可能にする包括的プラットフォームです。
Microsoft Azure Sentinelをはじめ、さまざまなSIEMソリューションやセキュリティ機器との連携にも対応しており、Anomaliが収集した脅威インテリジェンス情報を活用して、セキュリティを強化することができます。既知の脅威情報の検出や、対応の優先順位を付けることができるため、SOCやCSIRTなど企業のセキュリティチームのパフォーマンスを向上させることができます。インテグレーション可能な製品の一覧は、Anomali公式サイト(英語)にてご確認いただけます。
サービスについて詳しくは、弊社ホームページをご覧ください。
Anomaliについてもっと知りたいという方は、Anomaliの機能や活用例などがわかりやすく説明されているこちらの記事もぜひチェックしてみてください。
Writer
大学卒業後、新卒で区役所に入庁し各種事務業務を担当。その後キャリアチェンジのため一般企業へ入社し、システムエンジニアの業務を経験。2023年2月よりマキナレコードの翻訳業務に携わる。