全4792文字
PR

脅威情報や脆弱性情報を収集・分析して得た知見を「インテリジェンス」と呼ぶ。「予防」「早期発見」「救命救急」の3つの場面でリスク軽減に役立つ。有効活用には分析基盤の構築が欠かせない。

 今回は「サイバーインテリジェンス」について解説します。サイバーインテリジェンスという言葉は様々な意味で使われます。国防や外交目的の諜報活動や諜報機関を指すこともあれば、国家機関がテロ対策や犯罪捜査のためにサイバー空間上の情報を収集・分析する活動もサイバーインテリジェンスと呼びます。

 スパイ映画やドラマで扱われるようなテーマですが、一般企業のサイバーセキュリティーのリスク軽減活動を指す場合もあります。具体的には、サイバー攻撃の脅威情報や脆弱性情報を集めて分析し、間近に迫る危険を予測したり攻撃の兆候を見つけたりする取り組みです。

 また、サイバーインテリジェンス活動によって発見した脅威情報そのものを「サイバーインテリジェンス」と呼ぶ場合もあります。脅威情報という点を強調して「脅威インテリジェンス」と言うこともあります。本記事では、脅威情報や脆弱性情報を収集・分析して得た知見を「インテリジェンス」と呼ぶことで統一します。

インテリジェンスの3つの使い道

 一般企業でもインテリジェンスを活用する場面は数多くあります。脅威のトレンドから中長期的な戦略を考えるときや、日常的なサイバーセキュリティーのリスク管理業務を実施するときなどです。インテリジェンスの活用方法には、大きく分けて「早期警戒」「脅威ハンティング」「インシデント対応支援」の3つがあります。

図 インテリジェンス活用のユースケース
図 インテリジェンス活用のユースケース
「予防」「早期発見」「救命救急」に生かす
[画像のクリックで拡大表示]

 1つ目の「早期警戒」は、攻撃者の動向や他組織で発生したインシデントやその手口などの情報、ソフトウエアの脆弱性情報などを収集・分析して、自組織に被害が出る前に「予防」する活動です。自組織が狙われて被害につながる可能性と、万一被害が出た際の影響度を洞察します。いわば環境変化を捉えた、日々のリスク評価の活動です。

 リスクの度合いが不明あるいは高いと判断される場合には警戒レベルを上げ、注意喚起の発信や、潜在的な影響調査、防御策の適用、監視の強化といったアクションにつなげます。

 2つ目の「脅威ハンティング」は自組織への攻撃の痕跡を能動的に探して見つける活動です。自組織の環境内に不審な兆候がないかどうかを自己チェックして「早期発見」するイメージです。

 具体的には、一般的に広く共有されている「サイバー攻撃の手口」「攻撃元のIPアドレスやデバイスの特徴」「マルウエアなどに関する情報」などを参考にして、自組織が同様の攻撃を受けていないかどうかを調査します。

 これらの共有情報は「検知指標(IoC:インジケーター・オブ・コンプロマイズ)」と呼ばれます。注意喚起のために公的機関やセキュリティー事業者、業界内の情報連携機関などが公開しています。

 3つ目の「インシデント対応支援」は、インシデント発生時に「何が起こっているのか」を解明する活動です。例えば自組織のマルウエア対策システムや侵入検知システムといったセキュリティー機器がアラートを発した際、アラートの内容と脅威情報や脆弱性情報と突き合わせます。その結果を基に自組織に起こっている事象を解明します。

 この活動は前述の「脅威ハンティング」とは逆の作業プロセスをたどります。まず自組織で観測された事象とIoCを基に、その攻撃の目的を明らかにします。標的型か、無差別のばらまき型か、といった判定です。

 次に、攻撃内容のうち、リスクの高いものから優先順位をつけて、全体として迅速かつ合理的な対応を図れるようにします。このときの優先順位付けを「トリアージ」と呼びます。緊急時に迅速かつ適切に処置する「救命救急」のイメージです。