脅威インテリジェンス

掲載:2022年12月21日

用語集

「脅威インテリジェンス(Threat intelligence)」とは、サイバーセキュリティの専門家が攻撃者の動機や能力、設備などのデータを整理、分析し、サイバー攻撃の検知や防御のために利用できるようにした情報のことです。脅威の検知や防御に役立つ情報そのものを指すほか、脅威に関する情報を分析して有効な対策を講じる一連のプロセスや、そのためのサービスを指すものとして使用されることもあります。

脅威インテリジェンスには、攻撃のメカニズムや攻撃発生の識別方法、攻撃による影響といった情報が含まれます。これらの活用によりインシデントへの迅速な対応や脅威に対する事前の防御策の実施が可能になり、高度なサイバー攻撃の防御につなげられます。

脅威インテリジェンスは、主に戦略・戦術・運用の3つのレベルで考えられます。「戦略的インテリジェンス」は、脅威について全体的、長期的な文脈の中で分析した情報で、マネジメントの意思決定のためのリスク分析などで使用されます。「戦術的インテリジェンス」は、攻撃の経路や使用ツール、インフラストラクチャなど技術についての具体的な情報です。「運用インテリジェンス」は、特定の攻撃の意図や性質、タイミングなどについての情報であり、IT部門が脅威管理を行い対策を講じるために利用します。

また、これらのほかに、サイバー攻撃を受けた痕跡を示す「セキュリティ侵害インジケーター(IoC: Indicator of Compromise)」などの情報は「技術的インテリジェンス」と呼ばれます。

一般的に、脅威インテリジェンスは要件・収集・処理・分析・配布・フィードバックの6段階のライフサイクルで活用されます。まず「要件」の段階では、自社における脅威インテリジェンスの活用について目的と目標を明確にします。続いて目的・目標に基づきデータを「収集」し、生データを分析に適した形に「処理」した後、専門知識を有するアナリストが「分析」します。分析結果はレポート等にまとめてステークホルダーに「配布」してセキュリティ対策に活用し、「フィードバック」で今後の運用に向けた調整を行います。

欧米をはじめとする国々で活用が進んできた脅威インテリジェンスですが、近年では日本でも活用に取り組む企業が増えてきています。脅威インテリジェンスの活用を支援するサービスやツールも多数登場しており、導入の際は自社のニーズに合うものを選ぶことが大切です。