脅威インテリジェンスとは 定義や分類を解説
近年、脅威インテリジェンスという用語をよく聞きますが、具体的にどのようなものなのかイメージが沸かない人も多いのではないでしょうか。そこで本日は、脅威インテリジェンスとはどのようなものなのか解説していきたいと思います。
目次
脅威とはインテリジェンスとは?
当たり前ですが、脅威インテリジェンスとは「脅威」に関する「インテリジェンス」です。以下、それぞれ用語の意味を見ていきましょう。
脅威とは?
まず、「脅威」とは具体的にどのようなものでしょうか?「脅威」は安全保障分野を含め様々な分野で使用される用語ですが、セキュリティの世界においては一般的に「システムや組織に対し、害を与える望まないインシデントを発生する潜在的原因」(ISO/IEC 27000 : 2018)とされます。
このうち、自然災害や意図的でない過失等を除き、意図×機会×能力であらわされる対象が脅威インテリジェンスにおける「脅威」になります。
インテリジェンスとは?
インテリジェンスとはもともと軍事用語から派生した用語です。インテリジェンスの定義には様々な用語がありますが、米統合軍の用語集(DoD Dictinary of Military and Associated Terms)では以下のように定義しています。
- 海外諸国、(現在もしくは将来において)敵対的な組織や集団、軍事行動をしている地域について利用可能な情報の収集・加工・統合・評価・分析・解釈の結果として作成された成果
- 当該成果をもたらすための工作・活動
- 当該活動に従事する組織
すこしお堅い表現ですが、要はインテリジェンスには3つの意味があり、
①敵(脅威)に関する情報(様々な生データ)を収集し、利用可能なように整理(Informationへ)し、分析により意味付けした成果物(Intelligenceへ)そのものを指す場合(下図参照)、
あるいは
②収集から成果物作成までの一連の活動を指す場合、
さらに
③その活動を行う組織そのものを指す場合もあるということです。
画像引用:JP 2-0, Joint Intelligence
脅威インテリジェンス とは
上記を総合すると、
脅威インテリジェンスとは「脅威(意図・機会・能力)に関する情報について、収集・加工・統合・評価・分析・解釈を行った成果物。あるいは、当該成果物を作成するためのプロセス、組織を指すこともある・」と定義できるかと思います。
参照:石川朝久「脅威インテリジェンスの教科書」(技術評論社、2022年)
脅威インテリジェンスの分類
脅威インテリジェンスは、使用目的の観点から次のように分類できます。
Tactics Intelligence(戦術的インテリジェンス)
日々のセキュリテイ運用で利用される短期的なインテリジェンスのことを指します。対象者はSOC(Security Operation Center)でサイバー攻撃を監視・分析しているセキュリティ運用担当者が想定されます。
具体的にはマルウェアのハッシュ値や送信先のIPアドレス、ドメイン名、ネットワークのトラフィック、通信パターンといった情報を収集し、セキュリティ製品の設定見直しや脆弱性へのパッチ適用といった日々のセキュリテイ業務に反映します。
Operational Intelligence(作戦的インテリジェンス)
CSIRT(Computer Security Incident Response Team)やセキュリティ管理者、セキュリティ運用担当者を対象にした中期的なインテリジェンスです。
攻撃手法(TTPs : Tactics, Techniques and Procedures)の観点から攻撃グループを特定・分析し、セキュリティ運用やセキュリティ施策に反映します。
Strategic Intelligence(戦略的インテリジェンス)
経営層が使う、セキュリティに関する投資判断や組織的施策の方向性決定といったマネジメントやハイレベルな意思決定のための情報です。
サイバー攻撃に関するトレンドや国家のサイバーセキュリティ施策といった外部マクロ環境の分析等、中~長期的なインテリジェンスと言えます。
これらの分類は、収集した情報を分析する際に、どのレベルの使用者を念頭に置いた分析を行うかを考える上で有効です。
ただし、それぞれの区分が重なり合う場合が多々あることは注意が必要です。たとえば、重大な情報漏洩等を引き起こすマルウェアのシグニチャ等は戦術的インテリジェンスでもあり、作戦的さらには戦略的インテリジェンスになり得る場合もあります。分類はあくまでも便宜上のものなので、あまり細かくこだわる必要はありません。
脅威インテリジェンスの収集手段
脅威インテリジェンスの収集手段には以下のようなものがあります。本来のインテリジェンスでは様々な収集手段があり区分も複雑ですが、脅威インテリジェンスでは以下の3つを理解していれば十分です。
SIGINT(信号情報)
セキュリティ機器から得られる警告、ログ、パケット等の観測データを収集する方法です。最も確実な収集手段と言えますが、収集しようとする情報によっては専用の器材が必要となる等、ハード面での整備が必要であり比較手コストがかかるほか、収集した情報の分析・評価を行う者にも一定の技能を必要とします。
HUMINT(人的情報)
ユーザ、セキュリティベンダー、あるいは情報共有コミュニティ等の情報提供者からデータ収集を行う方法です。時にはハッカーコミュニティやダークウエブ上でのやり取りで情報を入手する場合もあります。
収集に係るコストが比較手低く、また自らの組織では入手できない貴重な情報が入手できる可能性もあります。しかしながら、確実に情報が入手できるわけではなく、また入手した情報の真偽を正確に評価することが必要等の注意点があります。
OSINT(公開情報)
WebニュースやSNS、脆弱性データベースあるいはGitHubなどのソースコード管理サイト等の主にインターネット上で公開されている情報を収集する方法です。
インテリジェンスの世界では、「必要とする情報の90%はOSINTから得られる」とされており、有力な手段です。最近ではAI技術により収集から簡易的な分析までほとんどが自動化できるという手軽さもあります。
しかしながら、誤った情報や意図的な偽情報も存在することから、入手した情報の評価を慎重に行うことが求められます。
脅威インテリジェンスの有用性と注意すべき点
脅威インテリジェンスを活用することで、最も大きなメリットは、リスクの特定及び対応の優先順位決定が容易になることです。
一般的に、全ての脆弱性に対応することは困難であり、守るべき情報資産やセキュリティ態勢に応じた優先順位をつけることが必要となります。脅威インテリジェンスを活用することで対応すべき脅威を明確化し、より効果的かつ効率的な対応が可能になると考えられます
。一方で、脅威インテリジェンスの導入にあたってはハード面の整備やサービス利用のコストが掛かります。また、脅威インテリジェンスを有効に活用するためには、そもそもの情報資産の明確化やセキュリテイ施策の存在といった基本的な土台があることが前提となります。
このため、脅威インテリジェンス導入にあたっては、自らの組織の状況を踏まえた必要性・有効性を検討がすることが重要です。
知ると面白い記事
関連記事