脅威インテリジェンスとは何ですか?

脅威インテリジェンスは、社内外のさまざまな情報源からのデータを組み合わせて、ビジネスに対する既存および新たなサイバーリスクを理解し、防御戦略を強化します。成功する脅威インテリジェンスプログラムは、脅威情報を三分化し、ビジネスリスクに基づいて脅威をフィルタリングして優先順位を付け、内部システムやセキュリティコントロールにフィードバックします。脅威インテリジェンスは、成熟したサイバーセキュリティプログラムの重要な要素です。

サイバー脅威インテリジェンスは、組織に対する現在の脅威と新たな脅威を明らかにします。攻撃者の戦術、手法、手順を理解することで、組織はセキュリティイベントの前、最中、および後に、より効果的に脅威に対抗できます。

脅威インテリジェンスプログラムは、組織が脆弱性への対処方法、テスト戦略の実施、インシデント対応計画の策定、およびイベント発生時の事業継続性の確保方法について、より効果的な意思決定を行うのに役立ちます。脅威インテリジェンスチームは、サイバーリスクチームやセキュリティチームと協力して作業します。

脅威インテリジェンスシステムは、サイバーセキュリティデータを収集、分析、および分析してインサイトを生成する中心的なハブです。これらのシステムは、セキュリティイベントの追跡や脅威アクターの存在の判別、セキュリティチームへの対応方法の説明に役立ちます。多くの場合、サイバー脅威インテリジェンス (CTI) を利用します。CTI は、システムにコンテキストを提供するのに役立つ内部および外部のデータソースの集まりです。

脅威インテリジェンスシステムは、総合的なセキュリティソフトウェアソリューションの一部として機能します。AWS Security Hub のようなソリューションでは、脅威インテリジェンスのライフサイクルアクティビティを統合して一元管理できることがよくあります。

脅威インテリジェンスのライフサイクルは、定期的な更新と見直しを必要とする継続的なプロセスです。

脅威インテリジェンスのライフサイクルの主な段階は次のとおりです。

環境スコープ

脅威インテリジェンスプログラムを導入する前に、組織はシステム、データ、ネットワーク、サービス、ユーザー、およびその他の組織資産を定義する必要があります。組織は、業務上の重要性とデータの機密性によって組織の資産を分類する必要があります。組織環境の範囲を理解することで、どの脅威がビジネスに関係し、どの資産がより大きな標的になる可能性があるかを理解することが可能になります。

脅威データ収集

スコーピングが完了したら、サイバー脅威インテリジェンスライフサイクルの次のステップは、多数のデータソースを中央の信頼できる情報源にまとめることです。脅威インテリジェンスシステムは、内部のセキュリティデータ、システムレポート、およびオープンソースやベンダーが配布するリアルタイムの脅威フィード、脆弱性データベース、ソーシャルメディアやダークウェブモニタリングなどの外部ソースを取り込みます。

この段階では、可能な限り多くの脅威データを収集して、包括的な情報を取得することを目的としています。この段階でのデータインジェストは高度に自動化され、常に行われており、ビジネス範囲に合わせてフィルタリングされていません。

データ処理

データを照合した後、組織はデータをフィルタリングし、構造化し、標準化し、充実させ、変換して有用なものにします。非構造化データは機械可読形式に変換され、構造化データはデータ品質を向上させるためにクリーニングされ、メタデータのタグが付けられます。冗長で範囲外のデータは削除されます。処理は可能な限り自動化する必要があります。

分析

分析フェーズでは、脅威インテリジェンスデータをビジネスに役立つ実用的なインサイトに変換します。自動システムは、処理されたデータのパターンと関係を特定し始め、サイバーセキュリティチームがさらに調査する異常、不一致、または結果を探します。

この段階では、データアナリストは機械学習や予測モデリングの適用など、さまざまな高度な手法を使用して特定の脅威指標をマッピングできます。これらのプロセスは手動と自動の両方で行われ、セキュリティチームがサイバー防衛戦略に役立つ関連性のある有用なインサイトを得られるように設計されています。

レポート作成

レポート作成は、脅威インテリジェンス分析の結果をビジネス関係者や関連チームに提供します。レポートは対象者に合わせて作成され、限られたダッシュボード、テキストファイル、プレゼンテーション、またはその他の形式のコミュニケーションが含まれる場合があります。

多くの場合、報告段階は自動化されており、脅威インテリジェンスシステムがレポートを生成し、必要な担当者に配布します。大規模なセキュリティ脅威が表面化すると、手動による報告が必要になることがあります。

また、チームが新しい未知の脅威をより広いコミュニティに報告して、他の組織がこの情報を自社のシステムに統合できるようにすることもできます。

モニタリングと調整

脅威インテリジェンスシステムは、潜在的なセキュリティ問題を監視し、IOC を追跡し、セキュリティチームを支援します。脅威インテリジェンスシステムは、24 時間 365 日体制のセキュリティオペレーションセンター (SOC) 内の重要なソフトウェアです。

分析中、チームは潜在的なセキュリティイベントに関連する侵害指標 (IOC) を追跡して、インシデント対応計画とプレイブックの策定、新規または調整されたセキュリティコントロールの導入、システムアーキテクチャの変更、ビジネスへのリスクの更新を行うことができます。この情報に基づいた対応により、企業のセキュリティ体制が損なわれることはありません。

チームは、予期せぬセキュリティイベントや新しい情報から学び、以前のパフォーマンスを繰り返し改善する必要があります。セキュリティチームは、セキュリティツールのパフォーマンスを確認し、対応についてコメントし、不一致を報告することで、脅威インテリジェンスソフトウェアの継続的な改善に役立てることができます。

サイバー脅威インテリジェンスプログラムの特徴は、ビジネス環境の複雑さ、機密データの要件、およびコンプライアンス義務によって異なります。脅威インテリジェンスプログラムの最も一般的な機能をいくつか紹介します。

データフィード

データフィードとは、脅威インテリジェンスプラットフォームがインサイトを提供するために利用するすべての情報源を指します。これらの脅威インテリジェンスサービスは、脅威インテリジェンスプログラムの中核コンポーネントです。

外部データフィードソースには、リアルタイムのオープンソースインテリジェンス (OSINT)、公開脅威フィード、および政府のサイバーセキュリティ機関から提供された情報が含まれます。内部データフィードソースには、ファイアウォールログ、ユーザーアクセス行動、侵入検知システム (IDS) アラート、エンドポイントログ、クラウドサービステレメトリが含まれます。

テクノロジー

脅威インテリジェンスは、連携して機能する複数のテクノロジーを活用して、データの提供、情報の分析、セキュリティチームへの実用的なインサイトの提供を行います。たとえば、脅威インテリジェンスソフトウェアの中には、データを取り込んで整理したり、セキュリティチームが行動を起こす必要があるときにインサイトを直接共有したりするのに役立つものがあります。

分析テクノロジーは、潜在的なセキュリティイベントを特定するのに役立つデータ内のパターンや異常を発見するために不可欠です。サイバー脅威インテリジェンスの分析能力とは、チームがデータの明確性、精度、深さを高めるために使用するあらゆるテクノロジーを指します。これらには、機械学習分析、予測アルゴリズム、行動分析が含まれます。

セキュリティ情報およびイベント管理 (SIEM) システムは、内部のセキュリティログデータをイベント情報に関連付けて、新たな脅威がビジネスにどのような影響を与える可能性があるかをリアルタイムで把握します。また、自社製品にアプリ内警告を組み込んでいる企業もあります。これにより、開発者は特定の側面に取り組む際に、潜在的なバグに関する追加のコンテキストを得ることができます。

フレームワーク

脅威インテリジェンスを含むフレームワークは、組織が従うべき標準化された構造を提供します。これらのフレームワークは高く評価されており、組織向けの記述的かつ規範的なガイダンスを含むように定期的に更新されています。脅威インテリジェンスに焦点を当てたサイバーセキュリティフレームワークは、MITRE ATT&CK フレームワークと Cyber Kill Chain です。これらのフレームワークはどちらも、戦術、標準ベクトル、IOC を処理する方法を含んでいます。

アクティビティ

サイバー脅威インテリジェンスシステムは、インサイトを生み出し、その能力を向上させるためにさまざまな活動を行っています。たとえば、これらのシステムは、リアルタイムのリスク評価を実施したり、既知の脆弱性に最新のパッチを適用したり、インシデントにフィードバックで対応したり、サイバーセキュリティの専門家にどのイベントを優先すべきかについてのインサイトを提供したりする場合があります。

セキュリティ専門家が活用するサイバー脅威インテリジェンスには、主に 4 つのタイプがあります。

戦略的脅威インテリジェンス

戦略的脅威インテリジェンスとは、潜在的なセキュリティイベントのコンテキストプロファイルを構築するのに役立つ地政学的データ、経済データ、その他の非技術的情報など、システムが収集するより広範な脅威状況情報を指します。この種の非技術的な戦略的脅威インテリジェンスは、より広範なセキュリティの脆弱性とその発展を理解するのに役立つ貴重なインサイトを提供します。

戦術的脅威インテリジェンス

戦術的脅威インテリジェンスとは、攻撃者の戦術、手法、手順 (TTP) に関連する情報を収集することを指します。これには、高度な持続的脅威 (APT) からの TTP も含まれます。業界全体の情報データは公安フィードで共有されます。この情報により、セキュリティ担当者は、特定の攻撃の一般的な動作、使用されるベクトル、および特定のセキュリティイベントで発生する一連のアクションを理解できます。

テクニカル脅威インテリジェンス

テクニカル脅威インテリジェンスとは、マシンが特定した侵害の兆候を指します。悪意のある IP アドレスの存在、予期しないセキュリティ URL、ファイアウォールの応答、システムの予想される運用値の急激な変化など、これらの IOC にはすべてフラグが付けられ、チームはさらに調査する必要があります。

オペレーショナル脅威インテリジェンス

オペレーショナル脅威インテリジェンスは、戦術情報と技術情報を組み合わせたものです。この形式のオペレーショナルインテリジェンスにより、特定の企業や地域で特定の形態のランサムウェアやマルウェアがどのように見られるようになったかなど、業界全体の知識に関するインサイトが得られます。オペレーショナル脅威インテリジェンスにより、企業は潜在的なセキュリティイベントを発生前に軽減するための対策を講じることができます。

AWS Cloud Security は、専用の脅威インテリジェンスの統合、自動化、および視覚化により、クラウド環境を保護するのに役立ちます。AWS クラウドセキュリティは、潜在的なリスクの特定、データ保護対策の採用によるインフラストラクチャの保護、予期しないイベントに対するセキュリティ態勢の監視、さらにはインシデントへの直接対応にも役立ちます。

AWS Security Hub は、お客様の重大なセキュリティ問題に優先順位を付け、規模に応じた対応を支援して環境を保護します。脅威インテリジェンスを提供し、シグナルを相互に関連付け、実用的なインサイトへと充実させることで重大な問題を検出し、効率的な対応を可能にします。

今すぐ無料アカウントを作成して、AWS で脅威インテリジェンスの使用を開始しましょう。