脅威インテリジェンスとは　１

脅威インテリジェンスはThreat Intelligence（スレットインテリジェンス）を日本語に翻訳したもので、攻撃者たちがどのような意図と目的で攻撃するのかを割り出し、彼らが過去に行った、または類似する攻撃方法のパターンを把握し、対処するにあたって重要な情報が集められた「情報の集合体」ということが出来ます。

サイバー攻撃の増加に伴い、対策のパラダイムは「どれだけ早く原因を突き止め、対処を完了出来るか」に重点が移され始めています。サイバー攻撃を受けたという事実が分かった時は、もう既に攻撃が進行中であることがほとんどです。よって、攻撃者が最初に侵入した後、悪性コードを仕込み攻撃を開始する全工程を再構築する事が、サイバー攻撃を根本から防ぐ方法といえます。この時に活躍するのが脅威インテリジェンスです。

脅威インテリジェンスは、単純なセキュリティ情報を集めた情報の集合体を意味するのではありません。戦術（Tactics）、技法（Techniques）、 手順（Procedures）など、サイバー攻撃全体にわたる状況を確実な証拠を基盤とし、多面的に伝達するサイバーセキュリティの知識と技術の総体です。

脅威インテリジェンスは大きく3つに分けることができます。「完成したインテリジェンス（Finished Intelligence）」、「戦術指標（Tactical Indicator）」、「未加工のインテリジェンス（Raw Intelligence）」です。

・「完成したインテリジェンス（Finished Intelligence）」
危険の探知と識別を先制的に行うため、最新情報を提供し脅威分析に力を注ぎ、事前情報を把握します。脅威の情報と削減に対する報告書、攻撃パターンがまだ知られていない脅威に対する情報、脆弱性に対する情報などがあります。この類型はセキュリティ対策と戦略、管理体系に活用することができます。

・「戦術指標（Tactical Indicator）」
既存のセキュリティアラームを、インテリジェンスを活用して指標とし、重要度と正確な情報によって識別します。脅威の識別情報などを提供します。

・「未加工のインテリジェンス（Raw Intelligence）」
未加工のインテリジェンスは、APIと連動して脅威の情報を検索、通知し、侵入されてしまったIDと悪性コードを分析します。戦術指標と未加工のインテリジェンスは、情報システムへの脅威の監視や分析を担当する「Security Operation Center（セキュリティ・オペレーション・センター）」などで活用されます。

インターネット技術の進歩により、現代人の生活はどんどん利便性が向上しています。またそれは同時に、サイバー攻撃の危険も大きく増加していることになります。

サイバー攻撃全体の70％から90％は、既に解決策が確立されている攻撃方法だと言われています。解決策が確立している攻撃の比重が大きいということは、ある意味では肯定的にとらえられる部分でもあります。しかし、「まだ知られていない」攻撃が10％ある、という事実に目を背けることはできません。

既に色々なセキュリティ製品を構築、使用している企業も多いかと思いますが、それぞれが独立して運営されている状態では、セキュリティ管理、対策が複雑化し、負担感だけが増す結果になります。このような状況下で、まだ知られていない未知の攻撃を防ぐのはなかなか骨が折れるでしょう。この「未知の脅威」に備えるためにも、脅威インテリジェンスが現代のセキュリティ対策として「選択」ではなく「必須」であるということが分かります。

次のブログでは、「脅威インテリジェンスの必要性」と、シングテルの子会社である「Trustwave」が提供する脅威管理サービス（Threat Management Services）を詳しくご紹介します。