脅威インテリジェンスとはそもそも何か?

脅威インテリジェンスは、うまく導入すれば、組織におけるセキュリティ対策を、これまでのインシデントが発生してから動き出す、リアクティブな対応から、予防的に働き、そもそもインシデントの発生を抑制するらプロアクティブな対応へと進化させることができるソリューションです。

実際にはその守備範囲はより広く、地政学的なリスクや業界全体をとりまくリスクなどについても知見が得られるため、純粋なセキュリティだけにとどまらない判断が可能となるものです。

では、脅威インテリジェンスとは一体何なのでしょうか?これを紐解いて行くためには、この言葉を「脅威」と「インテリジェンス」という2つに分けて考えるのがわかりやすいと思います。そのため、ここではそれぞれの言葉の意味を探っていきましょう。

まずは「脅威」です。この言葉は、使われる文脈やシーンによって変動しがちです。そのため、世界中のさまざまなセキュリティやリスク対応団体により、さまざまな定義があります。

ここではわかりやすい定義として、情報セキュリティに関する国際規格であるISO/IEC 27000:2018の定義を用いて考えていきたいと思います。ここでは脅威とは、「システムや組織に対し、害を与える望まないインシデントを発生する潜在的原因」と定められています。インシデントを発生させる、目に見えない原因ということで、比較的理解がしやすいのではないでしょうか。

続いて「インテリジェンス」という用語をみていきましょう。これは元をただせば、軍事用語から転用されている言葉です。

世の中にはさまざまな情報源から、多種多様な情報が提供されています。これをインテリジェンスの世界では、「データ」と呼んでいます。これは1次的な情報であることを意味していて、その中には価値のある情報もあれば、そうではない情報も混在している状態です。そのため、これらの雑多な情報をより有益な情報に選別・変換するために加工が施されます。この加工を行った情報を同じくインテリジェンスの世界では、「インフォメーション」といいます。これは高度な分析(相関分析など)が可能となるようにデータを整えたり(正規化)、重複、あるいは誤った情報を排除するプロセスです。

そして、このインフォメーションを分析したものが、「インテリジェンス」になります。これはインフォメーションから得られる洞察を付加した情報です。これを活用することにより、組織はプロアクティブなセキュリティ対策を打つことが可能となるのです。

つまり、脅威インテリジェンスと言葉はこれら2つの言葉を合わせたものだといえます。目に見えないインシデントの発生原因を、きちんと洞察を踏まえ、体系立てて整理された情報として受け取ることです。また、その一連のそれを生成するする活動全般も脅威インテリジェンスと表現することがあります。

なお、脅威インテリジェンスを生成する際は、属人化させないことが必要とされています。これは、一人でこれをやってしまうと、バイアスがかかり、誤った方向に対策などが誘導されてしまう可能性が排除できません。そのため、組織的に分析活動を行い、そこに客観的な視点を持たせることが重要です。

脅威インテリジェンスの分類

脅威インテリジェンスと一言でいっても、網羅する範囲は多岐にわたります。ここでは、3段階にわけて整理してみます。

まずは、「戦術的インテリジェンス」です。これは、ファイアウォールのようなネットワークセキュリティ機器を実際に運用している人には分かり易い概念だと言えます。これは、日々のセキュリティ対策で実際に用いられる情報です。具体的には、不正な通信が確認された送信元IPアドレスや、フィッシングに悪用されたドメイン、また検知されたマルウェアのハッシュ値などが挙げられます。これらは攻撃の痕跡(IoC)とも呼ばれ、実際にセキュリティ対策機器に登録したり、これらの値を元に検出を行うためのものです。これらはセキュリティ機器の運用者や、インシデントレスポンスの対応者などが活用します。

続いては、「運用インテリジェンス」です。これは先ほどの戦術的インテリジェンスをより高レイヤで束ねたものです。具体的には、攻撃者のとってくる攻撃手法(TTPs)を理解し、傾向や対策を行うために活用される情報です。この運用インテリジェンスの利用者は、セキュリティアナリストや、SOC(Security Operation Center)の責任者などが該当します。より洗練された情報を用いて、短期的から中期的な視点で脅威に対する対策をとれるようにします。

最後は「戦略的インテリジェンス」です。これは、組織の最高位に近い、CIOやCISOがセキュリティやリスクに関する施策の実施判断をする際などに用いられる情報です。業界全体にわたって存在するリスクなどを中期的以上の期間での対策を検討するために用いられます。セキュリティ対策の投資判断は、目に見えないため難しいところがありますので、こういった情報を適切に組織の上層部にインプットして、適切なジャッジが行えるようにします。

効果的に脅威インテリジェンスを活用するためには

さて、このように、さまざまな立場で役に立つ脅威インテリジェンスですが、これを有効活用するためには、前提条件とも呼べるものが必要です。それは組織のセキュリティ成熟度です。

ある程度セキュリティに対する体制が整っていない組織では、例え脅威インテリジェンスがあったとしても意味がないのです。例えば、不正通信を行うIPアドレスのようなIoCを入手したとしても、それを利用して防御をするためのネットワークセキュリティ機器が存在していなければ、宝の持ち腐れといえます。また、そもそも経営陣がセキュリティの重要性を認識しておらず、単なるコストであると考えている場合も、このインテリジェンスは無価値になります。まずはそういった考え方を改めるところからスタートする必要があります。このように、脅威インテリジェンスをうまく使うには、組織がセキュリティ的にある程度以上成熟している必要があるのです。

まとめ

脅威インテリジェンスは、脅威とインテリジェンスという2つの言葉にわけて、定義を考えていきます。その結果、見えないインシデントの原因に対抗するための、加工・分析された情報であることがわかります。

これらをある程度以上にセキュリティ的に成熟された組織が利用することで、さまざまなシーンで活用することができます。その範囲は、普段の運用から、経営層の投資判断まで多岐にわたります。

実際に事が起きてからの対処では、対応に時間もかかりますし、被害が生じます。これらを予防的に対応することができる脅威インテリジェンスは、これから先より注目されていくことが想定されます。

脅威インテリジェンスの入手先は、専門のサービスであったり、無償で提供されるものであったりさまざまで、千差万別です。この中から自組織に必要な情報を選別していくことが、活用のキーになります。ぜひこの脅威インテリジェンスの動向は把握できるように考えてみてください。

テクノロジー 一般