マルウェアやウイルス、ハッキングなどのサイバー脅威が多様化・複雑化している今、すべての可能性を視野に入れてセキュリティを対策・強化するのは容易ではありません。そこで注目されているのが、脅威の検知を軸にした「脅威インテリジェンス」です。これにより、企業は早い段階で脅威を予測・判別し、サイバー攻撃の防御対策を効果的に講じることができます。

脅威インテリジェンスとは、サイバー攻撃の潜在的な脅威について収集・処理・分析した情報です。その情報をサイバーセキュリティの専門家が整理・分析し、セキュリティ製品に連携することで、従来のセキュリティ対策では見逃されていた高度なサイバー攻撃を検知・防御できるようになります。最近増加している特定の業界・業種を標的とした巧妙なサイバー攻撃の防御も可能になります。

サイバー攻撃を受け被害が出てしまった、または攻撃対象になった時のために事前に対策を取る必要があります。サイバー攻撃者は一般的な検索エンジンでは表示されることがなく、専用のツールやブラウザを必要とするWebサイトで攻撃対象となる、企業・個人情報のやりとりや攻撃手法の情報共有を行っています。

サイバー攻撃者のやりとりはコードネームや偽装された情報となるので、直接的な文章からは読み取れませんが、前後関係や文脈、統一されたキーワードなどの重要情報などと突合して攻撃対象を推測できれば、攻撃に備えた準備をすることは可能です。しかし、攻撃に備えるには攻撃者の5W1H（「When：いつ」「Where：どこに」「Who：だれが」「What：何を」「Why：なぜ」「How：どのような手法で」）が明確にされていないと対策のしようがありません。

このような情報は脅威インテリジェンスデータから取得することができます。

■さまざまな脅威に対し予期できる（What）

ウイルスやマルウェア、ハッキングなどの複雑化するサイバー脅威に対して予期することで防御対策をとれるようになれます。サイバー脅威への対策も大きく変わりました。特に大きく変わったのは、セキュリティの考え方で、従来の境界型から、ゼロトラストでの考え方が主流となってきています。過去、現在の標的とされる対象への防御、侵入を把握することで予防という観点でのアプローチも増えてきています。

■被害を最小限に抑えられる（Why）

脅威インテリジェンスをリアルタイムで提供することでサイバー攻撃を受けた後に適切な対応を取ることができ、被害を最小限に食い止めることが可能となります。また脅威インテリジェンスデータを利用してブロックリストとして使用することができ、AIに学習させる分析レポートの元データとして使用するなど、さまざまな使われ方で、組み込まれています。このような分析レポートを活用することで、どのような目的で攻撃対象となりうるのかを把握できます。

■攻撃者・攻撃手法を特定できる（When、Where、Who、How）

脅威インテリジェンスデータを活用することで、サイバー脅威の原因となる攻撃者のグループや攻撃手法を理解・分析することができ攻撃者及び手法を特定できます。このようなことを把握し防御策を取ることによって、被害を予防・抑止することができるようになります。

■脅威インテリジェンスの活用方法（まとめ）

脅威インテリジェンスを活用するためには、データ（事実）・情報・インテリジェンスの3つの軸を構造化することが重要です。

構造化とは、事実と洞察が明確になるように分離することを意味します。こうした構造化により、一貫性のある分析と組織的な対応が可能です。脅威インテリジェンスを活用することで、自社などの組織における身近な脅威に対応しやすくなります。サイバー攻撃の古い手法だけでなく最新の手法についても対処できますし、攻撃者やその意図などを考慮した対策が可能です。

【InterSafe Threat Intelligence Platformの詳細・お問い合わせはこちら】

⇒https://www.alsi.co.jp/security/istip/