サイバー脅威インテリジェンスとは?

FireEyeでは「サイバー脅威インテリジェンス」を、攻撃者に関するエビデンスベースの知識と定義しています。攻撃者の動機、意図、能力、対応環境、オペレーションを含み、単独のイベント、一連のイベント、トレンドに注目し、防御側の意思決定に役立つ情報を提供します。

FireEyeが考えるこの定義は、特に攻撃者を重視したものとなっています。サイバー・セキュリティの攻撃と防御はつまるところ、人間と人間との闘いだからです。攻撃者の能力を理解することは重要である一方、すべての手段、作成物、環境などは、他者のセキュリティを攻撃しようとする人間が使用する資源に過ぎません。攻撃者に注力することこそ、FireEyeの脅威インテリジェンスを差別化し、その有効性を高めている要素のひとつです。

サイバー脅威インテリジェンス

攻撃者の動向を把握したいなら
Mandiant Advantageにお任せください

情報とインテリジェンスの違いとは?

インテリジェンスと情報は、よく混同されます。情報とは、たとえば不正IPアドレスを伴うデータ・フィードやマシンツーマシンの利用の指標など、それ自身には行動するためのコンテキストがありません。インテリジェンスにはこのような情報を含みますが、さらに、振る舞い、技術的な知識に加え、文化に関する知識など、解析とコンテキストが付加されています。生データは脅威インテリジェンスに必要な要素ですが、生データと脅威インテリジェンスは同じではありません。

情報とインテリジェンスの概念について、簡単に比較してみます。

情報とは…

  • フィルターリングされていない未処理のデータ・フィード
  • 未評価の状態で提供
  • 事実上あらゆるソースから収集
  • 真偽、まぎらわしい、完全でない、関連性の有無などが不明
  • 対処不可能

インテリジェンスとは…

  • 処理済みの整理された情報
  • 専門のインテリジェンス・アナリストによる評価と解明が完了している
  • 信用できるソースから集積され、正確性について相関分析済み
  • 正確性、タイムリーさ、完全性(可能な限り)、関連性を診断済み
  • 対処可能

サイバー脅威インテリジェンスに含める必要があるのは、生データだけではありません。人による解析結果を応用して作成できる、豊富なコンテキスト情報が必要です。このコンテキスト情報には、さまざまな攻撃者に関する過去、現在、未来のTTP(Tactics、Techniques、Procedures)についての理解が含まれます。また、技術的な兆候(不正なファイルの「フィンガープリント」を有する脅威やハッシュに関連するIPアドレスやドメインなど)、攻撃者、その動機と意図、標的対象の情報などの間のつながりも含まれます。

情報をインテリジェンスに変えるには?

ほとんどのインテリジェンスは、次の5つのステップから成るインテリジェンス・サイクルから得た情報で作成されます。

1. プランニングと要件
プログラムの目標を得て明確なCTIミッションを定義します。継続的な実施管理を伴う、要件ベースのアプローチの利用を徹底します。こうすることで、ライフサイクル・プロセスの推進と、情報に基づくリソース割り当てによる組織のリスク低減を実行できます。

2. 収集と処理
データ取得戦略を用いながら、要件を満たすどのようなデータを、いつ、何のために、どのようにして収集すべきかを決定します。脅威データの正規化、重複排除、補完によって、利用可能かつ適用可能な情報を生成します。多くの企業で、処理時間を短縮するために脅威インテリジェンス・プラットフォーム(TIP)などの自動収集システムが利用されるようになってきました。

3. 解析
プログラム要件に照らして処理済みの情報を評価、解析、解釈し、信頼性、関連性、発生可能性、脅威の影響を判定する、妥当な解析判定を提供します。要件を満たすために、収集のギャップを評価します。

CTIプロセスのライフサイクル

4. 作成
ブリーフィングや技術レポートなどの最終的なインテリジェンス製品を作成します。インテリジェンス製品は、タイムリーで、関連性があり、実行可能であり、関係者のニーズ(運用面、戦術面、戦略面のいずれか)につながるものです。関係者の要件に対して製品に不備があれば、それを文書化します。

5. 配布とフィードバック
最終的なインテリジェンス製品を、所定の頻度と方法で組織内外の関係者に提供します。製品には、期待される行動指針が概説され、その製品自体を関係者が評価する手段も提供されている必要があります。

攻撃者およびその行動や戦術は変化する可能性があるため、ここまでの4ステップで得られた結論と結果に基づいて、サイクルを新たに開始します。

サイバー脅威インテリジェンスが重要な理由は?

ネットワークの防御者にとってサイバー脅威インテリジェンスとは、軍司令官にとっての戦場インテリジェンス、あるいは外科医にとっての臨床検査や画像検査のようなものです。このような状況では、ネットワークの防御と同様に、誤った判断が壊滅的な結果を招きます。あらゆる場合において、責任者がすべてのリスクとオプションを念頭に置いたうえで、最善の決断をすることができるようにしたいと、FireEyeは考えています。

サイバー脅威インテリジェンスが重要な理由はここにあります。サイバー脅威インテリジェンスによって、ネットワークの防御者とそのリーダーたちは、サイバー攻撃に関する予測、防御、復旧の方法について、レベルの高い情報に基づいたセキュリティ判断を行うことができるのです。

脅威インテリジェンスの種類は?

サイバー脅威インテリジェンスには、脅威インテリジェンスの目的と用途によって、3つのカテゴリー(タイプ)があります。業種や防御のレベルや関係者のタイプによって、有益な脅威情報や解析方法もさまざまです。サイバー脅威インテリジェンスのタイプは3つに分けることができます。

  • 戦略的サイバー脅威インテリジェンス:新たなトレンドなど、主に将来を検討するものであり、長期的判断を行う際に用いられます。
  • 運用的サイバー脅威インテリジェンス:攻撃者のこれまでの能力、提携関係、動機を考慮するものであり、現実に検知できる脅威に関して、主にリソースの割り当てを判断する際に使用されます。
  • 戦術的サイバー脅威インテリジェンス:技術的環境と脅威との間のやりとりを解析します。通常、今起きている、または差し迫った脅威や攻撃の対策に使用されます。

FireEye Mandiant Threat Intelligenceサービスの詳細をご覧ください。

さあ、今すぐ始めましょう。

当社が誇るセキュリティの専門家が、インシデント対応の支援やコンサルティング・サービスに関する疑問解決など、
いつでもお手伝いできるよう準備してお待ちしています。

+1 888-227-2721 +61 281034308 +32 28962867 +1 877-347-3393 +971 45501444 +358 942451151 +33 170612726 +49 35185034500 +852 3975-1882 +91 80 6671 1566 +353 (0)216019160 +39 0294750535 +81 3 4577 4401 +03 77248276 +52 5585268207 +31 207941289 +64 32880234 +48 223072296 +7 4954658084 +65 31585101 +27 105008408 +82 7076860238 +34 932203202 +94 788155851 +46 853520870 +886 2-5551-1268 +27873392 +44 2036087538 +842444581914