ブログ

脅威インテリジェンスソリューションの5つのユースケース

投稿: 2024年6月25日

作成者 : エステバン・ボルヘス

サイバー脅威はますます巧妙化し、頻繁に増加しているため、組織はサイバー脅威インテリジェンスを活用して潜在的なサイバー攻撃に先手を打つことが不可欠になっています。あらゆる業界の組織は、サイバー犯罪者の一歩先を行き、貴重な資産を保護するために、堅牢な脅威インテリジェンスソリューションを実装することの重要性を認識しています。

脅威インテリジェンスの役割

組織は、機密情報を保護し、ビジネスの継続性を維持するために、セキュリティへのアプローチに警戒し、積極的に行動する必要があります。そこで、脅威インテリジェンスの出番です。しかし、脅威インテリジェンスとは何でしょうか?

脅威インテリジェンスは、組織が組織を標的にしている、または標的にする 脅威を理解するために使用する情報 です。このインテリジェンスは、オープンソース(OSINT)、ソーシャルメディア、技術データ、ダークウェブモニタリングなど、さまざまなソースから収集されます。脅威インテリジェンスの主な目的は、サイバー脅威を防止、検出、対応するための実用的な洞察を提供することです。

脅威インテリジェンスとは？

脅威インテリジェンスは、大きく分けて 4 つのタイプに分類できます。

戦略的脅威インテリジェンス - 新たなトレンド、地政学的なイベント、主要な脅威アクターなど、脅威の状況の概要を提供します。
戦術的脅威インテリジェンス - 脅威インテリジェンスアクターが使用する戦術、技術、手順(TTP)に焦点を当てています。
オペレーショナル脅威インテリジェンス - より即時かつ実用的で、現在アクティブまたは差し迫った特定のインシデントやキャンペーンを詳述します。
テクニカル脅威インテリジェンス - IPアドレス、ドメイン名、ファイルハッシュ、マルウェアシグネチャなど、特定の侵害の痕跡(IOC)に関するデータが含まれます。

これらのさまざまなタイプの脅威インテリジェンスを活用することで、組織は潜在的なサイバー脅威に対する包括的で階層的な防御を構築できます。

脅威インテリジェンスが重要な理由

Markets Insider Reportによると、2023年には不死身のエクスプロイトが3倍という驚異的な増加を記録しました。この大幅な増加は、機密情報を保護するための効果的な脅威インテリジェンスが不可欠であることを浮き彫りにしています。

脅威インテリジェンスの重要性は、生データを意味のある情報に変換し、セキュリティチームが情報に基づいた意思決定を行うために使用できることです。脅威アクターの戦術、技術、手順(TTP)を理解することで、組織は潜在的な攻撃に対してより適切に防御することができます。脅威インテリジェンスは、新たな脅威の特定、最新の脆弱性の優先順位付け、および全体的なセキュリティ体制にも役立ちます。

脅威インテリジェンスのコンポーネント

効果的な脅威インテリジェンスは、データ収集と高度な分析に基づいて構築されています。これには、収集された情報が関連性があり、正確で、実行可能であることを保証する多面的なアプローチが含まれます。ここでは、いくつかの主要なコンポーネントを示します。

データ収集： ネットワークログ、セキュリティインシデント、外部の脅威インテリジェンスフィードなど、さまざまなソースから生データを収集します。
データ分析: 収集したデータを処理および分析して、潜在的な脅威のパターン、傾向、および指標を特定します。
伝播： 分析したインテリジェンスを組織内の関連する利害関係者と共有して、セキュリティに関する決定とアクションを通知します。
実用的な洞察: 分析したデータを、リスクを軽減し、セキュリティ対策を強化するために使用できる実用的な洞察に変換します。

脅威インテリジェンスのユースケースは、サイバー脅威に対する組織の支援にどのように役立つのでしょうか?

脅威インテリジェンスは、進化し続ける新たなサイバー脅威の状況から組織を守るために極めて重要な役割を果たします。脅威インテリジェンスソリューションはさまざまな方法で使用できるため、ソリューションを選択してからそのソリューションの強みにユースケースを適合させようとするのではなく、脅威インテリジェンスプラットフォームを選択する前に、潜在的なユースケースを特定することが重要です。

脅威インテリジェンスのユースケースは、インシデント対応プロセスを効率化できます。テクノロジー調査会社のガートナーは、最近のマーケットガイドで、サイバー脅威インテリジェンスソリューションのエンドユーザーが 「ユースケース中心」のアプローチをとることで最適なソリューションを特定することを提案しています。

たとえば、あなたを標的とする脅威アクターの身元、方法、動機についての洞察を得て、将来の脅威を回避し、セキュリティを調整または更新したい場合があります。トレーニング演習で使用するためのケーススタディを作成したい場合があります。または、組織が特に脆弱なリスクに基づいて脆弱性管理に優先順位を付けることができるように、より多くの脅威データを収集したい場合もあります—ガートナーは、ソリューションを選択する前に考慮すべき重要な可能なユースケースの長いリストを提供します。

セキュリティ運用とプログラムを改善する方法について、情報に基づいたコストのかかるセキュリティ決定を下す前に、脅威インテリジェンスプラットフォームの最も効果的な使用方法に関する Gartner の以下の 5 つの例を確認してください。

脅威インテリジェンスのユースケース

1. 脅威インテリジェンスの統合によるその他のセキュリティ技術の充実

これらは基本であり、サイバー脅威インテリジェンスを既存のセキュリティプロセスに統合することで、インシデント対応の意思決定を改善し、セキュリティポリシーを強化します。ガートナー社によると、サイバー脅威インテリジェンスは、セキュリティ情報およびイベント管理(SIEM)、ファイアウォールと統合脅威管理システム、侵入検知および防止、セキュアWebゲートウェイとセキュア電子メールゲートウェイ、エンドポイント保護、Webアプリケーション保護、分散型サービス拒否、脆弱性管理、セキュリティオーケストレーションなど、ほとんどのセキュリティテクノロジー分野に広く組み込まれ始めています。

組織のセキュリティプログラムに脅威インテリジェンスをまだ含めていない場合は、 すでに使用しているものを確認し、脅威インテリジェンスがどのように効果を高めるかを確認することから始めるのが良いでしょう。多くの脅威インテリジェンスソリューションは、すでに使用しているセキュリティ製品と摩擦なく統合できる機械可読インテリジェンスを提供しており、オープンソース標準を使用するソリューションが増えているため、プラットフォーム間でのデータ共有がこれまで以上に容易になっています。

2. セキュリティチームの脆弱性の優先順位付け

効果的な脅威インテリジェンスプログラムの最適な使用法の1つは、組織が脆弱性を評価するための簡単な指標を作成するのに役立つデータを収集し、分析を実行することです。この指標は、解決できる問題と、利用可能な時間とリソースを考慮して、最も大きな違いを生む解決策との間の重複の尺度である必要があります。

脆弱性を優先する従来のアプローチは、最善のセキュリティアプローチは「あらゆるもの、常に、あらゆる場所にパッチを適用する」という姿勢から来ています。この目標を達成すると、理論的には、完全に侵入不可能なシステムにつながりますが、それは信じられないほど高い基準を設定します。したがって、このアプローチに従う組織は必然的に妥協し、「最大」の問題を最初に追求します。

しかし、一般に信じられていることとは反対に、「最大」の問題(実際にどれだけの損害をもたらすかに基づく)は、ゼロデイ脅威や巧妙な新しいエクスプロイトのような問題ではなく、悪用され続けている同じ古い脆弱性であり、まさに非常に多くの組織が脅威ハンティングで新しい脅威を優先しているため、ファンダメンタルズの改善に焦点を当てるのではなく、新しい脅威を優先しています。

脅威アクターは、あなたと同じように、あるいはそれ以上に、時間や利用可能なリソースによって制限されています。彼らは当然、結果を提供し続ける限り、最も単純でリソース消費の少ないエクスプロイトを使用する傾向があります。

ガートナーは、過去10年間に発見された脆弱性を分析した結果、新しいCVE がほぼ安定した割合で発見され、同じ期間にエクスプロイトの数が指数関数的に増加していることを発見しました。これは、新しいエクスプロイトの大部分が古いエクスプロイトのバリエーションであったことを示しており、組織の最優先事項は、新しい脅威を心配するのではなく、既知の脆弱性にパッチを適用することであることを明確にしています。

3. オープンウェブ、ディープウェブ、ダークウェブのモニタリング

脅威インテリジェンスソリューションは、インターネット上のオープンソースとクローズドソースの両方から脅威データを収集する必要があります。

要するに、オープンソースはインターネット上のすべての人に公開されています。これには、検索エンジン(サーフェスウェブと呼ばれることもあります)でインデックスされるすべてのデータが含まれます。これは約45億6000万ページで構成されていますが、インターネットの公開部分は、オンラインの全データの約4%しか占めていません。

残りの96%は、ディープウェブとダークウェブに分かれています。そのデータの約90%を占めるディープウェブとは、安全なログインやペイウォールの背後に閉じ込められ、検索エンジンのクローラーの手の届かないところにあるインターネットの部分を指します。この情報のほとんどは、科学、学術、または政府のレポート、財務記録や病歴などの個人情報、および民間企業のデータベースが含まれます。

インターネット上の全データの残りの6%を占めるダークウェブは、暗号化と匿名性を提供するTorなどのブラウザを介してのみアクセスできるWebサイトで構成されています。これに限ったことではありませんが、多くのウェブサイトでは違法な商品やサービスのマーケットプレイスを提供しています。

脆弱性とそのエクスプロイトは、ダークウェブとディープウェブの両方のスペースで、脆弱性を安全に保つことを望む当事者と脅威アクターの両方によって一般的に議論され、取引されています。そのため、これらの脅威インテリジェンスソースから脅威データを収集して、そこにある脅威をより包括的かつ最新の状態に保つことが不可欠です。

これらのスペースへのアクセスにはより多くのスキルが必要であり、リスクも高いため、特定の脅威インテリジェンスソリューションの主な価値の1つは、彼らがあなたのためにそれを行うことです。ガートナーのマーケットガイドによると、これらのスペースに効果的に侵入し、効果的かつタイムリーな分析を提供するには、長年の経験が必要であり、最も効果的な脅威インテリジェンスプログラムには、どのアルゴリズムでも再現できない専門家による分析が付属しています。

4. ブランドモニタリング

脆弱性やエクスプロイトに関する議論は、主にインターネットのクローズドな部分で行われますが、特にソーシャルメディアチャネル上の新たなサイバー脅威に対して、オープンソースも監視する実用的な脅威インテリジェンスプラットフォームを選択することには、依然として大きな価値があります。この分野で脅威を特定することは、それ自体がスキルであり、組織のブランドと、脅威アクターがそれを悪用しようとするさまざまな方法を認識する必要があります。

これらの脅威は公共の場に現れ、より広範な監視の対象となるため、より巧妙で、ソフトウェアの悪用ではなくソーシャルエンジニアリングの手法に依存することが多く、認識するにはある程度の専門知識が必要です。

たとえば、ブランド監視を含む脅威インテリジェンスソリューションは、スタッフが受け入れた偽のソーシャルメディアプロファイルや悪意のあるソーシャルメディアプロファイルを探したり、スタッフのプロファイルを模倣したり、ソーシャルメディアプロファイルに投稿された悪意のあるリンクを特定したり、知的財産の損失や盗難を評価したりする場合があります。

ソーシャルメディアやブランドモニタリングを通じて特定できるサイバー攻撃には、フィッシング、偽旗スキーム、ドメイン詐欺、活動家や「トローリング」攻撃などがあります。専門的に開発された脅威インテリジェンスソリューションは、オープンソースのツールやアドホックなアプローチよりもはるかに効率的で、誤検知も少なくなります。

5. 脅威指標の調査、強化、対応

もちろん、すべての攻撃を防げるわけではなく、多くの脅威インテリジェンスソリューションの価値の1つは、オペレーショナル脅威インテリジェンスを通じてインシデント対応の速度と精度を向上させる能力です。ガートナー社はこのガイドで、予防に重点を置くのではなく、脅威の検出と対応の両方を等しく含む、よりバランスの取れたアプローチに移行することを提唱しています。

このフレームワークの一部には、上記で詳述したように、脆弱性の優先順位付け方法を再考することが含まれています。また、ファイルやオブジェクトを送信するためのオンデマンドアクセスを許可し、疑わしいファイルハッシュ、ドメイン名、アドレスなどの侵害の兆候を探し、それらを一部のソリューションが保持している大規模なデータセットと比較することで、組織のデータを充実させる脅威インテリジェンスソリューションがあると役立つ場合もあります。

一部のソリューションには、脅威をプロアクティブに追跡する能力さえあります。インシデント対応は、定義上、事後対応型のプロセスですが、より高度なソリューションでは、脅威が実際に組織に対して実装される前に、脅威を探ることができます。

脅威ハンティングは、システムを最新の状態に保ち、自社のネットワークを綿密に監視するなど、セキュリティスタンスの基本をすでに維持している成熟した組織を必要としますが、それを効果的に実行できる組織には、非常に貴重な追加のセキュリティレイヤーを提供します。

ユースケースを評価するための別のフレームワーク

また、Gartner のマーケットガイドでは、さまざまな脅威インテリジェンスサービスを、次の 2 つのスケールで分類して評価する簡単な方法も提供しています。

Threat Intel の使用例:時間枠別またはリスクの種類別の例

戦術的 - 戦略的: このスケールは時間の尺度です。大まかに言えば、戦術的な脅威インテリジェンスソリューションは短期的にはより効果的であり、長期的には戦略的なソリューションの方が優れている可能性があります。たとえば、脅威データを迅速に処理し、潜在的な脅威を特定する能力に強みがある場合、ソリューションはより戦術的であると見なされるかもしれませんが、将来の長期計画に役立つより深い分析を提供するソリューションは、戦略的と定義する方が適切です。
テクニカル - ビジネス: このスケールは、リスクの種類の測定値です。一般的に、技術的な脅威インテリジェンスソリューションはセキュリティ運用に重点を置いているのに対し、戦略的な脅威インテリジェンスアプローチはデジタルリスク管理に対処します。たとえば、より技術的なソリューションでは、不正なIPアドレスやドメインなど、即時の侵害の指標に焦点を当てることができますが、新たな戦術や特定の業界に対するリスクを測定するソリューションは、ビジネスリスクにより一致しています。

サイバー脅威インテリジェンスの実装が必要

脅威インテリジェンスを組織のサイバーセキュリティ戦略に組み込むことは、進化するサイバー脅威に先手を打つために重要です。脅威インテリジェンスソリューションの導入は、サイバーセキュリティ体制(またはセキュリティチーム)を強化し、ますます巧妙化するサイバー脅威から身を守りたいと考えている組織にとって非常に重要です。

脅威インテリジェンスは、脅威を予測、特定、対応するために必要な実用的な洞察を提供し、セキュリティチームが常にサイバー攻撃者の一歩先を行くようにします。組織は、インシデント対応の強化、プロアクティブな脅威ハンティング、脆弱性管理など、さまざまなユースケースで脅威インテリジェンスを活用することで、資産をプロアクティブに保護し、リスクを軽減し、より安全なデジタル環境を確保できます。

脅威インテリジェンスがサイバーセキュリティ戦略とセキュリティチームをどのように強化できるかについては、Recorded Futureにデモをリクエストしてください

この記事は2018年1月23日に公開され、2024年6月25日に最終更新されました。

エステバン・ボルヘス
Esteban は 20 年以上の経験を持つ IT プロフェッショナルであり、システムとネットワークの強化、ブルーチームの運用の主導、サイバーセキュリティ防御を強化するための徹底的な攻撃対象領域分析の実施を専門としています。また、コンテンツ戦略、テクニカルSEO、コンバージョン率の最適化を専門とするマーケティングの専門家でもあります。彼のキャリアには、SecurityTrailsのセキュリティリサーチャーおよびマーケティング責任者としての役割が含まれ、その後、Recorded Futureのチームに参加しました。