定義
脅威インテリジェンスとは、攻撃者の手口・動機・利用される脆弱性・マルウェア・攻撃キャンペーンの情報を収集・分析し、防御活動に役立てる仕組みや知識のこと。
単なる「脆弱性情報」や「ログ監視」とは異なり、攻撃者の視点や動向を理解して先手を打つことが目的です。
活用の目的
- 予防:攻撃手法や流行のマルウェアを事前に把握し、防御策を導入する
- 検知:インシデントが発生した際、IOC(Indicator of Compromise:侵害の痕跡)と照合して検知精度を高める
- 対応:攻撃キャンペーンの背景や攻撃グループのTTP(戦術・技術・手順)を理解し、優先度の高い対応を実施する
脅威インテリジェンスの種類
-
戦術的(Tactical)
- 攻撃者が利用する具体的な手法やツールの情報
- 例:マルウェアのハッシュ値、悪性IPアドレス
-
運用的(Operational)
- 攻撃キャンペーンの進行状況や、攻撃グループの目的
- 例:特定業界を狙うフィッシング活動の開始情報
-
戦略的(Strategic)
- 経営層向けにまとめた、攻撃トレンドやリスク評価情報
- 例:地政学的リスクに基づくサイバー攻撃の増加予測
脅威インテリジェンスの提供形態
- IOC(侵害指標):IPアドレス、ドメイン、ファイルハッシュなど
- レポート:攻撃グループの活動レポート、マルウェア解析報告
- フィード:脅威情報をAPIやRSSでリアルタイム配信
脅威インテリジェンスの活用例
-
SIEMとの連携
脅威情報フィードをSIEMに組み込み、監視ログと照合して攻撃を検出。 -
SOC業務の効率化
既知の悪性ドメインやIPをブロックリスト化し、検知対応を自動化。 -
経営判断支援
攻撃リスクを経営層に報告し、セキュリティ投資の根拠とする。
メリットと課題
-
メリット
- 攻撃の事前察知、検知精度向上、迅速な対応
-
課題
- 情報の鮮度・信頼性の確保が難しい
- 情報量が膨大で、活用には専門知識が必要
まとめ
脅威インテリジェンスは、従来の「受動的なセキュリティ対策」から、
「攻撃者を理解し、能動的に守るセキュリティ」へ移行するための重要な仕組み です。