はじめに
日本語の脅威インテリジェンスは、英語のThreat Intelligenceを直訳したものであり、サイバーセキュリティの文脈で使用されます。
Google トレンドのキーワードからThreat Intelligenceを検索すると、ここ数年で動向の変化が見られました。
本記事では近年注目されている脅威インテリジェンスの基本的な考え方や概念について記載しています。
脅威インテリジェンス
英語のThreat Intelligenceは、cyber threat intelligence(以下、CTI)とも呼ばれています。
CTIは、攻撃者の戦術や動機など、攻撃者並びに悪意を持つ敵対者に関する証拠に基づいた知識として定義できます。
CTIのプロセスで得たインテリジェンスは、経営陣が意思決定するための情報として利用できます。
脅威
脅威とは、企業や組織が保有する情報資産に損失を与える要因やリスクを発生させる要因のことです。
従って情報資産を脅かす脅威と、情報資産の脆弱性が結び付くことで、リスクと考えることができます。
リスク = 脅威 + 脆弱性
今年もIPAから情報セキュリティ10大脅威が公開されました。
情報セキュリティ10大脅威は、社会的に影響が大きかったと考えられる情報セキュリティにおける事案について、IPAが脅威候補として毎年まとめているドキュメントです。
インテリジェンス
日本語として使用されているインテリジェンスは、英語のintelligence1に由来するカタカナ語です。
intelligenceは知性や知能を表し、セキュリティだけでなく政治など幅広い文脈で使用される言葉です。また、軍事用語としてスパイ活動の分野で長い歴史を持ち、情報収集や分析、敵の意図や能力を理解することを指す言葉として使用されてきました。
インテリジェンスは、データや情報などの用語と同じ意味で使用されるのが一般的です。しかし、CTIでどのよう影響するかをよりよく理解するためには、それぞれの要素を区別することが重要です。
一般的には、生のデータは未加工なデータであり、加工されたデータがインテリジェンスと言われています。
- Data:データ
- IPアドレス、URL、ハッシュなど、攻撃者に関連付けられた個別の指標
- Information:情報
- いつWebサービスにアクセスしたかなど、データポイントの組み合わせ
- Intelligence:インテリジェンス
- データと情報を相関させて、コンテキスト分析に基づいた行動のパターン
出典元:ウィキペディアのインテリジェンス
CTIの主な目的は、情報システムと攻撃者の関係を軸にして、あらゆる攻撃から情報システムを防御する方法を理解することです。
脅威インテリジェンスの分類
セキュリティの文脈で使用されている脅威インテリジェンスは、以下の4種類に整理されています。
- Strategic intelligence:戦略インテリジェンス
- ビジネスの意思決定に影響を与える可能性などを調査するたエグゼクティブ向けのインテリジェンス
- Technical intelligence:技術インテリジェンス
- 文字通り技術的なインテリジェンスとして、攻撃者が使用した攻撃の証拠とアーティファクトを調査する
- Tactical intelligence:戦術インテリジェンス
- Tactics:戦術、Techniques:テクニック、Procedures:手順などTTPを評価して、セキュリティ管理を強化する
- Operational intelligence:運用インテリジェンス
- 組織に対する脅威アクターを特定し、攻撃者が攻撃を実行する動機などを調査する
脅威インテリジェンスのライフサイクル
脅威インテリジェンスは、以下の様なライフサイクルに従うことで、セキュリティインシデントの優先順位付けに利用されます。
- Direction:方向
- 目的と目標を定義する
- Collection:コレクション
- 目標に従って必要なデータを収集する
- Processing:処理
- 必要なデータを抽出及び並べ替えなど整理することで、適切なタグや関連付けを行い、分析者にとって分かりやすい形式で視覚的に表示する
- Analysis:分析
- 指標と攻撃パターンを明らかにすることで、潜在的な脅威を調査したり、情報システムを防御するなどの検討を行う
- Dissemination:普及
- ステークホルダーとインテリジェンスを共有したり、レポートを作成する
- Feedback:フィードバック
- 脅威インテリジェンスのプロセスを改善するために、作業の見直しやステークホルダーからフィードバックをもらう
脅威インテリジェンスのライフサイクルは、生データをインテリジェンスに仕上げるためのプロセスです。
その他
一言で脅威と言っても、経営者の視点では自然災害、株価暴落、為替変動リスク、レピュテーションリスクなどサイバーセキュリティ以外でも様々な脅威となる要因が存在します。
世界情勢とレピュテーションリスクの例について以下に記載します。
世界情勢
2022年2月24日から始まったロシアによるウクライナ侵攻は2年が経過しました。
2024年は世界で重要な選挙が行われる年となっており、この選挙結果は軍事情勢にも影響すると考えられています。
台湾への圧力を強める中国、3月に行われるロシアでの大統領選挙、11月にはアメリカで大統領選挙が行われます。最近では「もしトラ」というキーワードが注目されています。
地政学的緊張が高まる場合、為替通貨の乱高下や世界経済全体の先行きを不透明にしたりするだけでなく、サイバーセキュリティに顕著な影響を与えます。
従って世界情勢の変化は、サイバーセキュリティの脅威の性質と範囲を変化させ、より広範囲で複雑な対応を必要とします。この様な脅威に対応するためには、技術的な対策だけでなく、政治的・社会的な取り組みも必要とされます。
レピュテーションリスク
組織で脅威に関する情報を収集するにあたって、レピュテーションリスクに対する考慮も重要だと考えています。
去年発生した飲食店での迷惑行為による株価への影響を目の当たりにすると、経営者はレピュテーションリスクに対する情報収集や対策がより求められるのではないでしょうか。
行動経済学では、バンドワゴン効果という言葉があります。
バンドワゴン効果は、政治やマーケティングやSNSの炎上など、様々な場面で働く性質があります。
おわりに
脅威インテリジェンスの市場規模は世界的にも拡大しているため、今後も注目していきたいと思います。
参考
- CrowdStrike:サイバー脅威インテリジェンスとは?
- IBM:脅威インテリジェンスとは
- Rapid7:脅威インテリジェンス
- Splunk:サイバー脅威インテリジェンスとは?
-
intelligenceの起源は、ラテン語のintelligereまで遡ることができます ↩
-
メリアム=ウェブスターより ↩