ブログ(脅威調査)

「あなた」にとって本当に価値のある脅威インテリジェンスとは :「自社・組織に関する脅威を知りたい」の裏側にある本質を考える

FireEye Mandiantでは、包括的な脅威インテリジェンスを提供しており、世界各国の政府機関からさまざまな業種、あるいは規模の民間企業まで多くの組織で活用いただき、ご信頼いただいています。お陰さまで、国内においてもこれまで以上に頻繁にお問い合わせをいただくケースが増えてきました。お客様、あるいは各種セキュリティ運用サービスを提供されている各事業者としての立場にあるパートナー様とお話しさせていただきますと、すでに何らかの形で脅威インテリジェンスを活用している、あるいは検討している、さらにはこれから短期間の間での導入を検討しているという場合がほとんどです。その背景には、ご存知のとおり、攻撃側の進化、環境の変化が加速度的に進む中で、従来型のサイバーセキュリティ対策ではもはや対応することができないという状況があります。

(図1)

つまり、今求められているのは従来の検知・防御のみにフォーカスした対策だけでなく、より“プロアクティブ”な防御へとシフトすること。そして、サイバーセキュリティ対策の本質的な目的、実現したいこと、すなわち

  • 侵害を未然に防ぐこと
  • 万一侵害されたとしてもその被害を最小化→早期発見、早期対処

の2つの観点を軸にセキュリティ対策と態勢強化に取り組む必要があるわけです。

「脅威情報」と「脅威インテリジェンス」

そもそも、「インテリジェンス」とはなんでしょうか。

一般的には「知能」や「知性」などと訳されますが、辞書で見てみますと「軍事的、または政治的価値を持つ情報の集合体」という説明も見つけることができます。もともとサイバーセキュリティは軍事的な考え方に照らして語られることも多いわけですが、脅威インテリジェンスの定義を考える上でも、この説明が基礎になりそうです。つまり、インテリジェンスとは「価値を持つ情報の集合体」である。そして、これを踏まえて『脅威』インテリジェンスの定義を考えると、先に述べた達成したい目的、すなわちプロアクティブな対策へのシフト、そして侵害の未然防止と被害の最小化を図る上での役立つ「価値」のある情報の集合体のことである、ということになります。

では次に、脅威インテリジェンスとは具体的に何を指すものなのか、について考えてみましょう。例えば、悪意のあるペイロード、脆弱性、パターンファイル、侵害の痕跡(IOC)、漏洩した情報、攻撃者の活動、攻撃に関するレポートなどなど。恐らく、脅威インテリジェンス、という言葉から連想するのは、こうしたものではないでしょうか。ここで立ち戻りたいのが冒頭のお話し、つまり、<本質的な目的に立ち戻ったときに、どういった価値を提供してくれるのか>という観点になり、これに照らして考えると、今ここに上げたようなものは、「脅威情報」と「脅威インテリジェンス」に分類することができます。

Mandiantの定義では、脅威情報とは、脅威に関する純粋な情報やデータであり、専門家の知見が加えられていないもの。そして、基本的にはリアクティブな対策につながるもの。一方、脅威インテリジェンスとは、さまざまなソースからの脅威情報をベースに、専門家がその背景にある攻撃の動機やトレンドなどを加味してコンテクストを付加しており、プロアクティブな対策につながるもの、としています。「脅威インテリジェンス」の定義を広義にとって、これらをまとめて「脅威インテリジェンスである」という解説もありますが、これらはまったく違うものです。あるいは、脅威インテリジェンスは脅威情報を包含するものである、ということは言えますが、その逆にはなり得ない、という点を理解しておくことが肝要です。

(図2)

具体的課題から見る「脅威情報」と「脅威インテリジェンス」 / 「リアクティブ」と「プロアクティブ」

では、今度は、実際の企業・組織における具体的な課題から、関連する脅威情報と脅威インテリジェンスについて整理しながら見ていきましょう。下の図の左側の箱の中には、企業・組織のセキュリティ対策においてよくある課題の例を挙げてみました。お客様との話しの中でも脅威情報、あるいは脅威インテリジェンスの活用方法としてよく議題に上るものですが、それぞれざっくりと以下のように分類することができます。

  • 攻撃指標を用いて検知・防御に使われるもの
  • 脆弱性と自社・組織の属性を組み合わせて対策に活かすもの
  • 自社・組織の環境外、例えばダークウェブなどでやりとりされている情報
  • 攻撃グループに焦点を当てたもの

この上に、脅威情報か、または脅威インテリジェンスか、そして リアクティブなのか、あるいはプロアクティブなのか、についての分類を重ねてみると、上の2つについてはいずれも脅威情報であり、事後対応的に活用されるものであることがわかります。これらについてはすでに多くの企業・組織において実際の運用の中に組み込まれており、何らかの形で活用されているのではないでしょうか。

(図3)

「自社・組織に関する脅威を知りたい」の裏側にある本質と注意すべきポイント
アラートベース vs. リスクベース

脅威インテリジェンスを理解する上では、「アラートベース」か、あるいは「リスクベースか」というもうひとつの重要な分類の視点があります。ここからは図3の下の2つ、「ダークウェブにある情報」と「攻撃グループ情報+ハンティング」に注目してさらに掘り下げていきたいと思いますが、この2つの違いを理解する上では、お客様からよく聞くご要望、

― 「自社・組織に関する脅威を知りたい」

という点が適切な脅威インテリジェンスを選択する上で重要なカギとなります。

まず、ダークウェブにある情報は社名、自社・組織のネットワーク環境の脆弱性や個人情報などとなります。確かに自分自身に関するものが中心となり、これは警戒アラートの位置づけに分類されます。

一方、攻撃グループとハンティングの情報は、自社・組織が属する業種や地域、属性などを軸に、攻撃グループの動向や手口などを考察するもので、これはリスクベースの情報に分類されます。

(図4)

こうして見てみると、お客様からのよくある要望、「自社・組織に関する情報を知りたい」という要件により一層合致しているのはダークウェブにある情報であるということになりそうです。

しかし、本当にそうでしょうか?

Webセミナー『「あなた」にとって本当に価値のある脅威インテリジェンスとは 〜「アラート」と「リスク」の観点から』では、注目の高まる脅威インテリジェンス検討のポイントについて、よくある思い込みと注意すべき点を踏まえて解説しています。ぜひチェックしてみてください。

Webセミナーのポイント:

  • そもそも脅威インテリジェンスってなに?
  • 自社・組織にとって、本当に価値のある脅威インテリジェンスとは?
  • 本質的な目的と活用方法に沿った選択のヒント
  • その脅威インテリジェンスの「確からしさ」の根拠とは?
  • Mandiant Threat Intelligenceが提供する価値

[関連リンク]

Webセミナー:脅威インテリジェンスの歩きかた(全3回)

『脅威インテリジェンスとは何か?』について基本的な解説からどのように活用するかまでをわかりやすく3回シリーズで説明するセミナーです。基本のおさらいにもご活用ください。

ebook: コンテキストの持つ価値とは

脅威情報と脅威インテリジェンスの違いを明確にし、脅威インテリジェンスが持つコンテキストの価値を考察。組織のセキュリティ対策やリスク管理にどう貢献するかを解説します。

Mandiant Advantage Free : 脅威インテリジェンス<無償版>

ダッシュボード、公開インテリジェンスと説明、ニュース解析など、Mandiant Advantage Threat Intelligenceの基本的な機能にアクセスできる無償版です。ぜひお試しください。