脅威インテリジェンスとは　種類や内容、利用できる情報源などをわかりやすく解説

脅威インテリジェンスとは、Gartner社によって次のように定義されています。
「脅威インテリジェンスとは、ITや情報資産に対する既知もしくは未知の脅威や危険性に関する証拠に基づいた知識で、コンテキスト、メカニズム、指標、影響、実用的なアドバイスを含んでいるものを指します。これらの情報は脅威や危険性への対応を決めるときにもちいられます。」(出典：Gartner社Webサイトの定義を邦訳）

さらにこの情報の種類はCYFIRMA社によると、「自組織にとっての攻撃者の特性と理解するための情報」と「攻撃者から見る自組織のリスクの把握のための情報」(出典：CYFIRMA社Webサイトより)にわけることができます。
IoC(Indicator of Compromise)を脅威インテリジェンスと理解する方も多いようですが、実はIoCは脅威インテリジェンスの一部を指しているにすぎません。つまり、脅威インテリジェンスがカバーする範囲はもっと広く、そして、より重要なことは、脅威インテリジェンスの情報のなかには、企業リスクの判断に使うべき情報も含まれているということです。

脅威インテリジェンス情報には、「自組織にとっての攻撃者の特性と理解のための情報」と「攻撃者から見る自組織のリスクの把握ための情報」の２つの情報があるとご紹介しましたが、それぞれどのような情報になるのかを詳しく解説します。

さまざまな戦いの場において、誰が、どういう目的で、どこに、どういう方法で攻撃をしかけてくるのかが事前にわかっていれば、それに備えることは比較的容易になり、攻撃のポイントに対してリソースを集中することができます。
サイバー空間での戦いも同様に、どういうハッカー集団(Who)が、どういった手法(How)でなんのために(何を目的(Purpose)に）、狙ってくるかを事前に察知しておくことが重要で、そのような情報が脅威インテリジェンスのなかには含まれます。このような情報を事前に取得し、分析し、対策をすることで、結果的に適切なコストで最大のセキュリティ対策効果がえられます。

攻撃者は自組織(自社)のどこを狙ってくるのでしょうか？一番安いコストで最大限の効果をえようとすることがハッカーの心理だとすれば、外(自社外）から見て、リスク(脆弱性など)が存在しているポイントを狙おうとするのではないでしょうか。反対に、リスクのない(少ない)企業はコストのわりに効果が出にくい企業に見えるはずです(一部の本当に重要な情報を有している企業・団体は除く)。つまり、企業としては、ハッカーにとっていかに魅力的に見えないようにするかが重要なポイントだといえます。
しかし、大企業になればなるほど、情報システム部は自社で活用しているすべての外部システムの把握ができにくくなり(事業会社でさまざまなビジネス展開をしているので、どうしても情報システム側では全体把握するのに時間がかかる）、情報システム部が自社のセキュリティリスクの管理をタイムリーに行っていくことがむずかしいというのが実情のようです(さまざまなお客様からそのようなお声を聴きます）。このように、自社で把握がむずかしい“攻撃者から見る自組織のリスク”情報を、脅威インテリジェンスを利用することでタイムリーに受け取ることが可能になります。いうまでもなく、この情報を活用して対策を講じることもできるようになります。

脅威インテリジェンス情報を発信するために、各社さまざまな手法で情報の収集にあたっています。代表的なものはOSINT(Open Source Intelligence)による情報収集ですが、OSINTはあくまで一般に公開されている情報収集にとどまります。情報源となる企業によってはさらにディープなサイトからの情報収集を行っているところもあります。例えば、非公開コミュニティ、ディープウェブ、ダークウェブ、ハッカーコミュニティなどからの情報収集です。これらのサイトでやりとり、売買されている情報を各社が独自の技術で収集し、必要によっては適切な言語に翻訳し、ハッカー集団の特性(情報を狙う目的や方法など）も調査した結果を脅威インテリジェンス情報としてユーザー企業に提供しています。

脅威インテリジェンス情報の収集、分析、活用までの全体像は、下図がわかりやすく説明していますので参考までにご紹介しておきます。

図：IJIRTSによるCTI Framework(CYFIRMA社編集)
(出典：CYFIRMA社Webサイト)

次に、脅威インテリジェンス情報に含まれる内容について解説します。脅威インテリジェンス情報を提供するメーカーはさまざまに存在しますが、提供される内容はおおよそ以下のようなものになるといえます。

・お客様業界や組織を取り巻く脅威情報(アクティブに活動しているサイバー犯罪者情報）
・アクター(サイバー犯罪者集団)が利用する攻撃手法の情報
・お客様資産(システム)において、サイバー犯罪者が悪用可能な脆弱性情報
・お客様のブランドに影響をおよぼすような情報(ドメイン名を似せた偽サイト情報など）
・お客様への攻撃を目論むサイバー犯罪者の情報
・お客様に関連する機微情報の漏洩の有無(メールアドレス、パスワードなど）
・サイバー犯罪集団が使用する最新のIoC情報

これらの情報は、自社のリスク(脅威）を判断し、事前に対策を講じるために大変重要な情報となります。

サイバー犯罪者同士のコミュニケーションは英語以外の言語で行われることも多く、収集される脅威インテリジェンス情報も英語ではないこともあります。そういう情報の場合にはAIなどをもちいて利用者に理解できる言語に変換されたものがメーカーから提供されるようになっているため、ユーザー企業には情報理解の手間が省けるといったメリットがあります。

これまで解説してきたように、脅威インテリジェンス情報は自社において、事前にリスクを把握し、プロアクティブな対策を実現するために大変重要な情報であり、プロアクティブに対応することで限られた予算で効率よくセキュリティ対策を行うことが可能となるといえます。
しかしながら、脅威インテリジェンス情報は日本の市場において十分広がっていないというのが現状です。その理由の一つは、セキュリティに対して「日本のセキュリティは安全」、「お金をかけずにある一定程度のセキュリティは保たれている」と思ってしまう日本人特有の信念のようなものがあるからともいわれています。もう一つの理由としては、脅威インテリジェンスを受け取る立場のCSIRT(Computer Security Incident Response Team)などのセキュリティ担当者のリソースやスキルの不足もあげることができるでしょう。
脅威インテリジェンス情報は多くの潜在的リスクを可視化する大変有効な情報であり、最近ではさまざまなメーカーよって提供されている情報は個社向けにカスタマイズされたものにもなってきており、ユーザー企業にも理解しやすくなっています。しかしながら、それでも、その内容を理解し適切な対応につなげることができている企業がほんの一部に限られているという現状があるのは、ユーザー企業のセキュリティ人材が不足しているからともいえます。
ユーザー企業におけるセキュリティ人材の不足が叫ばれて久しいですが、なかなか改善の兆しはみえません。リソースの不足やスキルの不足を理由に、脅威インテリジェンス情報を十分活用できていない、あるいはそもそも使えないので利用しない、という判断をする企業も多いようですが、そのような場合は、外部機関のアドバイスサービスなども活用し、継続的な運用体制を構築することも有効です。

このコラムをとおして、脅威インテリジェンス情報を利用することで、自社のセキュリティリスクを事前に把握するができ、プロアクティブな対策が可能になることについてはご理解いただけたかと思います。
理解したうえでも脅威インテリジェンス情報を有効に利用するには、ある程度のサイバーセキュリティの知識と自社におけるリスク判断のための作業が必要になってきます。そのため、セキュリティ運用にたずさわるみなさまは、自社のリソースとスキルを把握し、必要に応じて外部アドバイス機関の利用などによって自社で足りないスキルを補完することも考慮しながら、脅威インテリジェンス情報のご利用を検討することが重要になるといえます。