サイバー脅威インテリジェンスとは何か？

サイバー脅威インテリジェンス（CTI）とは、デジタル領域で組織が直面する脅威に関するあらゆる情報を指す。この情報は広範な情報源から収集され、アナリストが脅威行為者の動機、標的、行動を理解するのに役立ちます。また、組織がデジタルおよび物理的脅威の深刻度を評価すると同時に、緩和および修復戦略の基礎として機能する。

サイバー脅威インテリジェンスの利点

脅威行為者は、気付かれることなく、したがって妨害されることなく活動できる環境で成功を収める。脅威インテリジェンスは、脅威行為者の行動に光を当て、組織がより効果的にサイバー攻撃に備え、対応できるようにします。これはいくつかの理由から有益である：

エコシステムとエコシステムが直面する脅威の両方に対する可視性の向上
リスクと脅威の管理に関する、より効果的でデータに基づいた意思決定
脅威行為者が活用する一般的な戦術、技術、手順をしっかりと理解した上で構築されるセキュリティ戦略。
サイバー脅威への対応における俊敏性と柔軟性の向上
全体的なサイバー耐性の向上
セキュリティ・コストの削減
より効率的なセキュリティ・オペレーション

サイバー脅威インテリジェンスが重要な理由

行動可能な脅威インテリジェンスの俊敏性、柔軟性、有効性はますます重要になっている。サイバー攻撃はかつてないほど数が増えているだけでなく、実行速度もはるかに速くなっています。脅威の主体、特に金銭的な動機に基づく、国家に支援されたランサムウェアの運営者は、ますます巧妙になっています。

素朴で非技術的なサイバー犯罪者であっても、組織に深刻な被害をもたらす可能性がある。彼らは独自のツールや戦術を活用するのではなく、より洗練された脅威行為者からサイバー攻撃インフラを借りることができます。あるいは、イニシャル・アクセス・ブローカー（IAB）を介して、侵害されたシステムに侵入する方法を購入することもできます。

脅威インテリジェンスに必要なのは、受動的なデータ・オーケストレーションだけではありません。組織は、エコシステム全体を継続的に監視するために必要なインフラと、脅威データをリアルタイムで分析し、文脈化する能力を備えていなければなりません。ほとんどの組織にとって、脅威インテリジェンスにはある程度の自動化が必要であることを意味します。フィルタリングされていない脅威インテリジェンス・フィードから生成される情報量は、最高の設備を備えたセキュリティ・チームでさえ考慮できる範囲を超えています。

組織はまた、脅威インテリジェンスをインシデント対応やリスク管理などの他のプロセスと統合する必要がある。脅威インテリジェンスは真空中に存在するのではなく、サイバーセキュリティに対する全体的なアプローチの一部でなければならない。

これは、脅威データを収集するソリューション（拡張検知・応答（XDR）ソリューションやセキュリティ情報・イベント管理（SIEM）プラットフォームなど）が、セキュリティ・スタックに完全に統合されている必要があることも意味します。

サイバー脅威インテリジェンスのライフサイクル

脅威インテリジェンス・ライフサイクルとは、組織が潜在的な脅威に関する生のデータを収集・検討し、そのデータを使用して脅威にプロアクティブに対処するプロセスである。これを実現する中核的なプロセスや手法は、サイバーセキュリティ分野に固有のものではない。むしろ、公共部門、特に軍や法執行機関において、何十年にもわたって開発され、磨かれてきたものである。

サイバーセキュリティとサイバー脅威管理の文脈では、このインテリジェンス・サイクルは以下のフェーズで構成される：

1.要件と方向性。 ここでは、組織が脅威インテリジェンス・プログラムの最初の土台を築き、定義する：

保護すべき資産とプロセス
攻撃が各資産やプロセスに与える影響
サイバーセキュリティ対策の観点から、各資産やプロセスにどのような優先順位をつけるべきか
脅威行為者がこれらの品目を標的とする理由、すなわちその動機
組織の攻撃対象の全範囲
攻撃対象領域を保護するために必要な脅威インテリジェンスの種類と、そのデータの使用方法

2.収集。 この段階では、社内外のさまざまな情報源から情報を収集する。これには、ウイルス対策ログ、ウェブトラフィック、業界フィード、表層および深層ウェブのモニタリングが含まれる。

3.処理。 第2段階で収集されたデータの多くはフィルタリングされておらず、フォーマットされていない。ささやかな脅威情報プログラムであっても、収集されるデータ量が膨大であることを考えると、これを手作業で行うことはほとんど不可能である。

4.分析。人間の担当者は、処理されたデータを精査し、知識、直感、専門知識を適用して情報をさらに文脈化する。そして、脅威データから得られた洞察をどのように活用するのが最善かを判断する。

5.普及。 収集した脅威データから核となる洞察と行動項目を定義した上で、脅威インテリジェンスチームはこの情報を組織の主要な利害関係者に展開し、利害関係者はこの情報を意思決定の指針として活用する。

6.フィードバック。 インテリジェンス・チームから最終的な脅威レポートを受け取った関係者は、その後、調整すべきと思われる点を共同で検討する。

サイバー脅威インテリジェンスの種類

すべてのサイバー脅威情報は、4つのカテゴリーのいずれかに分類することができる。

戦略的サイバー脅威インテリジェンス

戦略的サイバー脅威インテリジェンスは、組織の全体的な脅威の状況、脅威行為者の考えられる動機、攻撃が成功した場合の潜在的な影響など、より高度な洞察に焦点を当てます。これは長期的な計画をサポートし、組織がより広範な業界動向を特定し、全体的なリスク態勢を定義し、リスク軽減戦略を考案するのに役立ちます。戦略的脅威インテリジェンスは、一般的に組織のリーダーを対象としています。

戦術的サイバー脅威インテリジェンス

Tactical Cyber Threat Intelligence（戦術的サイバー脅威インテリジェンス）は、脅威行為者が活用する戦術、技術、手順に関する実用的な情報の収集と取り込みに重点を置いています。これは、潜在的な脆弱性と可能な防御策に関する洞察をセキュリティチームに提供します。

技術的サイバー脅威インテリジェンス

Technical Cyber Threat Intelligence（テクニカル・サイバー・スレット・インテリジェンス）は、主に侵害の指標に関するものである。これは、進行中のサイバー攻撃を迅速に特定し、対応することである。当然のことながら、テクニカルCTIとオペレーショナルCTIの間には大きな重複があり、この2つはしばしば一緒にグループ化されます。

オペレーショナル・サイバー脅威インテリジェンス

運用型サイバー脅威インテリジェンス（Operational Cyber Threat Intelligence）は、潜在的な脅威の性質、動機、タイミングに関する詳細なリアルタイムの知識、および脅威行為者の能力と動機に関する詳細な情報から構成される。脅威ハンティングは、ダークウェブのフォーラムやハッキングコミュニティへの潜入と同様に、運用型CTIに該当する。