「Recorded Future 」ライターチームです。
脅威インテリジェンスは、2022年に改訂されたISMS(情報セキュリティマネジメントシステム)規格にも管理策として追記されるなど、その重要性が認識されるようになりました。
脅威インテリジェンスには、主に2つの解釈があります。
当社のセキュリティブログでは以前、脅威インテリジェンスを「潜在的な脅威について収集されたデータ 」と定義した記事を作成しました。
今回の記事では、脅威インテリジェンスのもう一方の定義である「脅威に対する情報を収集し、サイバー防御に活用する技術やプロセス」*1の観点から、その役割と活用方法について、わかりやすく解説します。
目次
100万の情報ソースに基づくリスクマネジメントを可能にするRecorded Future
-
脅威インテリジェンス
ツールの概要資料脅威インテリジェンスプラットフォーム「Recorded Future」の概要、ユースケース、提供形態などがわかる資料
-
脅威インテリジェンス
導入の費用対効果脅威インテリジェンス導入の費用対効果がわかる資料
-
導入事例
Recorded Futureを活用し、自社のセキュリティ対策の課題をどのように解決したかを紹介した資料
ISMS規格の管理策に追加された「脅威インテリジェンス」
組織における情報資産の機密性、完全性、可用性を確保するための枠組みとして、「ISMS(情報セキュリティマネジメントシステム)」があります。
ISMSの認証規格として、「ISO/IEC 27001」があり、国際規格となっています。なお、当社は「JIS Q 27001:2023 (ISO/IEC 27001:2022)」の認証を取得しています。
2022年に、「ISO/IEC 27001」が改定され、その構成要素である「附属書A」に新たな管理策が11個追加されました*1。
「附属書A」には、組織が抱える情報セキュリティリスクを低減するために、情報漏えいやサイバー攻撃などへの対策を含む管理策が示されています。
■新たに追加された管理策の一覧
管理策 | 目的 |
5.7 脅威インテリジェンス | サイバー攻撃に関するデータや攻撃者の手法を収集・分析し、脅威を適切に緩和すること。 |
5.23 クラウドサービスの利用における情報セキュリティ | クラウドサービス内の機微情報を保護し、クラウドサービスの利用に関するセキュリティ要件を整備すること。 |
5.30 事業継続のためのICTの備え | 重要な情報や資産が必要な時に利用可能な状態にしておくこと。 |
7.4 物理的セキュリティの監視 | 物理的なセキュリティ対策を監視し、施設や設備の安全を確保すること。 |
8.9 構成管理 | システムやネットワークの構成を管理し、変更が適切に行われるようにすること。 |
8.10 情報の削除 | 不要な情報を適切に削除し、情報漏洩のリスクを低減すること。 |
8.11 データマスキング | 機密データを保護するために、データをマスキング(匿名化)すること。 |
8.12 データ漏えい防止 | データ漏洩を防ぐための対策を講じること。 |
8.16 監視活動 | セキュリティインシデントの兆候を早期に検知するための監視活動を行うこと。 |
8.23 ウェブフィルタリング | 不適切なウェブサイトへのアクセスを制限し、セキュリティリスクを低減すること。 |
8.28 セキュリティに配慮したコーディング | ソフトウェア開発においてセキュリティを考慮したコーディングを行うこと。 |
脅威インテリジェンスがリスク対策として採用された背景
「付属書A」に脅威インテリジェンスが追加された背景には、昨今のサイバー攻撃が高度化、巧妙化していることが影響していると考えられます。
脅威インテリジェンスの歴史を遡ると、軍事や国家安全保障の分野に起源を持つことがわかります。
初期の脅威インテリジェンスは、対象国の動向や戦略を把握するための情報収集と分析に重点を置いていました。
しかし、時間の経過に伴い、脅威インテリジェンスは戦略的な意思決定に加え、対象国からの攻撃を未然に防ぐ手段としても活用されるようになりました*2。
現在では、脅威インテリジェンスのサービスや概念が民間企業にも広がり、サイバーセキュリティにおける重要な要素となりつつあります。
企業が脅威インテリジェンスを活用することで、従来のセキュリティ対策では見落としやすい高度なサイバー攻撃やその予兆を検知し、対策を先手で行うことが可能になりました。
脅威インテリジェンスのツールと収集できる情報
脅威インテリジェンスは、サイバー攻撃者の動向や手口、狙われやすい業界や企業に関する情報などを集約しています。
活用案としては、脅威インテリジェンスと社内のログやネットワークトラフィックなどの情報を突き合わせることで、脅威ハンティング(組織のネットワークやシステム内に潜在する未検知の脅威を積極的かつ体系的に探索し、特定する活動)を行うことができます。
脅威インテリジェンスに用いるツールは様々で、主に以下が挙げられます。
OSINT(Open Source Intelligence)ツール
誰でも利用できるソースにある情報を収集、分析、可視化しやすくするオープンソースのインテリジェンス。
SIEM (Security Information and Event Management)製品
ネットワーク製品やセキュリティ製品を含むあらゆるIT機器のログを一元管理および解析し、インシデントにつながる脅威を検知するセキュリティ製品。OSINTや脅威インテリジェンスサービスと組み合わせて脅威ハンティングに活用することができる。
ベンダーが提供する脅威インテリジェンス製品
サイバー攻撃に関するデータを収集および分析し、組織が潜在的な脅威を予測し、迅速に対応するための情報を提供するセキュリティ製品。
脅威インテリジェンスを検討する際は、広範な情報源から自組織にとって脅威となる情報を高精度で抽出し、適切に評価・意思決定に活用可能か、という観点で比較することをお勧めします。
例えば、脅威インテリジェンス製品の1つであるRecorded Futureは、以下のような情報を収集および提示することが可能です。
■Recorded Futureが提供している情報(モジュール別)
①脅威インテリジェンス (Threat Intelligence) ・ インテリジェンスの収集と生成を実施。 ・ キーワードによる検索や特定の攻撃者・情報源を監視することが可能。 | ②脆弱性情報 (Vulnerability Intelligence) ・ 脆弱性の管理、優先度付けを実施。 ・ システムの脆弱性情報、脆弱性のリスクスコアなどを把握することが可能。 | ③クレデンシャル情報(Identity Intelligence) ・ サプライチェーン監視を実施。 ・ 継続的に企業のリスクスコアなどを把握することが可能。 |
④地政学 (Geopolitics Intelligence) ・ ロケーションリスク管理を実施。 ・ 海外拠点所在地のテロ、暴動や立法に関する情報を把握することが可能。 | ⑤セキュリティオペレーション (SecOps Intelligence) ・ セキュリティオペレーションを効率化。 ・ SIEM/SOAR等のアラートトリアージやIoC調査が可能。 | ⑥ブランド保護 (Brand Intelligence) ・ 会社のブランドを保護。 ・ フィッシングドメインや、自社に関連するID/パスワードの漏洩監視が可能。 |
⑦サードパーティ (3rd Party Intelligence) ・ サードパーティ/サプライチェーン監視を実施。 ・ 継続的に関連企業のリスクスコアなどを把握することが可能。 | ⑧アタックサーフェス (Attack Surface Intelligence) ・ 外部に露出している脆弱性を可視化。 ・ 把握していない資産の脆弱性の発見が可能。 | ⑨ペイメントフロード (Payment Fraud Intelligence) ・ 漏洩したクレジットカード情報を監視。 ・ クレジットカードの不正利用対策が可能。(決済事業者向け) |
100万の情報ソースに基づくリスクマネジメントを可能にするRecorded Future
-
脅威インテリジェンス
ツールの概要資料脅威インテリジェンスプラットフォーム「Recorded Future」の概要、ユースケース、提供形態などがわかる資料
-
脅威インテリジェンス
導入の費用対効果脅威インテリジェンス導入の費用対効果がわかる資料
-
導入事例
Recorded Futureを活用し、自社のセキュリティ対策の課題をどのように解決したかを紹介した資料
脅威インテリジェンスを有効活用する方法
脅威インテリジェンスを効果的に取り入れるためには、以下のステップを繰り返し行うことが大切です。
1|脅威情報の収集と分析
脅威情報を収集するためにはダークウェブなどの情報源から攻撃者の活動に関する情報を集める必要があります。
脅威情報は攻撃計画、ハッカーの募集、攻撃対象に関する情報交換、攻撃手法などです。
収集した情報は、5W1H(When、Where、Who、What、Why、How)のフレームワークに基づいて分析する必要があり、分析結果から攻撃のタイミング、場所、攻撃者、標的、目的、手法が明らかにします。
脅威情報の収集と分析は人手で行うことは非現実的で、必ずと行っていいほどベンダー製品を導入しています。
まずは、AI機能でリスクを評価し情報を迅速に優先順位付けできる脅威インテリジェンス製品を導入し、進めていくことをお勧めします。
2|脅威の特定と対策
収集と分析を通じて得られた情報を基に、組織は自身が攻撃対象となる可能性を判断します。
重要な情報が攻撃対象と推測される場合、事前に対策を講じることが重要です。
攻撃の前にセキュリティ対策を行っておくことで攻撃を受けたときに被害を最小限に抑えることができます。
3|情報共有と協力
脅威インテリジェンスで収集し分析した情報は、業界のコミュニティやパートナー企業等、組織内外で共有されることが推奨されます。
情報共有によって業界全体での脅威状況の把握が可能になることや、新たな脅威情報を他組織から得られることなどがメリットとして挙げられます。
NIST(米国国立標準技術研究所)は、情報の標準化と共有のガイドラインを提供しており、これに従うことで情報の信頼性と有効性が向上します*4。
4|継続的な運用と改善
脅威インテリジェンスを最大限に活用するためには、継続的な運用と改善が重要です。
脅威インテリジェンスの導入により、組織を取り巻くさまざまな脅威を網羅的に把握し、戦略的なセキュリティ対策を実現することが可能です。
脅威インテリジェンスを提供するRecorded Future
75 か国 の1,800 社に導入実績のある「Recorded Future」は、24時間体制でサーフェスウェブからダークウェブに至るまで100万以上の情報ソースを監視し、必要な情報を収集します。
Recorded Futureは13言語に対応した自然言語処理技術(特許取得済み)を用いて情報をリアルタイムで自動解析したうえで翻訳し、組織への関連性や緊急度を示します。
100万以上の膨大な情報源から脅威を抽出するRecorded Futureは、プロアクティブ防御においても重要な役割を持ちます。
ダークウェブ上の脅威や関係会社のリスクマネジメントをするために導入された実績もあり、様々な企業において、セキュリティチームの迅速かつ正確な意思決定に活用可能です。
100万の情報ソースに基づくリスクマネジメントを可能にするRecorded Future
-
脅威インテリジェンス
ツールの概要資料脅威インテリジェンスプラットフォーム「Recorded Future」の概要、ユースケース、提供形態などがわかる資料
-
脅威インテリジェンス
導入の費用対効果脅威インテリジェンス導入の費用対効果がわかる資料
-
導入事例
Recorded Futureを活用し、自社のセキュリティ対策の課題をどのように解決したかを紹介した資料
出典 (参考文献一覧)
※1 NPO日本ネットワークセキュリティ協会 | 新旧対比 管理策 (参照日:2024-06-18)
※2 防衛研究所WEBサイト | 脅威インテリジェンスの機能的・歴史的視座(参照日:2024-06-18)
※3 経済産業省 | 攻撃技術情報の取扱い・活用手引き(案)(参照日:2024-06-18)
※4 NIST | Guide to Cyber Threat Information Sharing (参照日:2024-06-18)