「脅威インテリジェンス(Threat Intelligence)」とは、サイバーセキュリティに関する攻撃者の動機や能力、設備といったデータを収集・分析し、サイバー攻撃の検知や防御のために利用できるようにした情報のことです。
情報そのものを指すほか、セキュリティ対策のために、脅威に関する情報を分析して有効な対策を講じる取り組みを表すものとして使用されることもあります。
脅威インテリジェンスの定義
脅威インテリジェンスとは、サイバーセキュリティの脅威に関するデータ、あるいはそれについて収集・評価・分析などを行うプロセスを指します。
米国セキュリティ研究教育機関(SANS Institute)によると、脅威は以下の3要素から成るとされており、データそのものを指す場合は、これらに関する情報が脅威インテリジェンスにあたります。
- 意図:攻撃対象組織を狙う目的・意図
- 能力:目的を達成するために必要な攻撃者の能力・攻撃手法
- 機会:攻撃の実行を可能とする環境・条件(脆弱性の有無など)
脅威インテリジェンスの分類
脅威インテリジェンスは、目的・利用者・アウトプット形式によって、戦略・運用・戦術の3つに分けられます。
- ● 戦略的インテリジェンス
- 近年のサイバー攻撃に関する脅威の動向や外部環境を長期的視点で分析することよりリスクを明確にし、経営層のセキュリティに関する意思決定、投資判断を支援するためのインテリジェンス
- ● 運用インテリジェンス
- 攻撃手法の観点から脅威を理解し、ペネトレーションテストなどの短~中期的なセキュリティ改善を行うためのインテリジェンス
- ● 戦術的インテリジェンス
- 日々のセキュリティ運用で検知される攻撃シグネチャと脆弱性情報を基に、短期的なインシデントの予防・検知・対応に用いられるインテリジェンス
脅威インテリジェンスの活用サイクル
一般的に、脅威インテリジェンスは(1)方針策定、(2)収集・加工、(3)分析、(4)配布、(5)評価の5段階のライフサイクルで活用されます。
まず、(1)方針策定で、組織自社における脅威インテリジェンスの活用について目的と要件目標を明確にし、データの収集方針を定めます。続いて(2)収集・加工で、(1)で定めた方針に沿ってデータを収集し、収集したデータを分析しやすい情報へと加工。(3)分析では、要件を満たすように情報を分析し、意思決定に必要な要素を追加して「インテリジェンス」を作成し、(4)配布で、作成したインテリジェンスを利用者に配布します。この利用者には、経営層やセキュリティ部門だけでなく、社外のステークホルダーも含まれます。最後に(5)評価で全体のプロセスを評価し、サイクルの改善につなげます。
脅威インテリジェンスによるメリット
近年、データの増加や攻撃対象領域の拡大、攻撃手法の複雑化、リモートワークやクラウド利用の普及などさまざまな要因により、サイバーセキュリティの管理負荷・難易度が高まっています。
そのような中で、脅威インテリジェンスは、セキュリティ対策の優先順位を付ける点、脅威の動向に合わせた対応ができる点において効果を発揮し、限られたリソースの中でもプロアクティブなセキュリティ対応を実現することができます。
欧米をはじめとする国々で活用が進んできた脅威インテリジェンスですが、近年では日本でも活用に取り組む企業が増えてきています。導入の際は、自社のニーズに合わせて活用するとよいでしょう。
