CTI(Cyber Threat Intelligence)

CTI(Cyber Threat Intelligence)の重要性とは?種類やライフサイクルについて解説!

世界的にWeb上でのセキュリティ対策として、サイバー脅威インテリジェンス(CTI:Cyber Threat Intelligence)が注目されています。Web業界においてCTIは、「掴みどころのない概念」といった曖昧な説明がなされています。これを具体的に分かりやすく説明すると、サイバーセキュリティの専門家が悪意のある第3者による攻撃に関して整理と分析を行い、その情報から導き出した根拠に基づくことを意味します。

近年、悪意のある第3者によるサイバー攻撃が急増していることもあり、CTIを提供するサービスが注目されています。本記事では、そんなCTI(サイバー脅威インテリジェンス)の重要性について解説しています。なお、CTIの市場規模やメリットについて知りたい方は、こちらの記事をご覧ください。

【注目】次世代のセキュリティ戦略とは?脅威インテリジェンスについて解説!

 

CTI(Cyber Threat Intelligence)の重要性とは?

近年、CTIが注目されている理由は、悪意のある第3者による脅威から自社を守るためには、サイバー攻撃を仕掛けてくる敵についてよく知ることが不可欠なためです。悪意のある第3者は、同じ手口でサイバー攻撃を続けて行うことはありません。次々と新しい脆弱性を見つけ、そこを狙った新しい攻撃の手段を考えて悪用しています。そうした背景のなかで、最強の防御を実現するには、新しい脅威に関する最新の情報を入手し、敵を詳細に知ることが重要です。

CTIは、サイバーセキュリティの専門家たちが収集した、悪意のある第3者の新しい攻撃に関する情報を整理・分析し、精査して根拠に基づいた情報を取り扱う概念です。その情報の提供を受け、そこから学習して対策を行えば、常に最強の防御で悪意のある第3者によるサイバー攻撃から自社を守ることが可能となるでしょう。

そして、敵とそのサイバー攻撃に対する防御方法が明確になることで、企業全体で攻撃者に関する理解が深いものになります。Webセキュリティ対策にあまり費用がかけられない中小企業だと、未知の物事には備えが疎かになりやすいです。それが、CTIによって未知の物事が明らかになることで、企業全体でのWebセキュリティへの意思決定を可能にすることができるでしょう。また、すでに費用をかけて対策を行っている大企業も、CTIを活用することで必要のないWebセキュリティ対策の仕分けができるため、コスト軽減できることもメリットといえます。

 

CTI(Cyber Threat Intelligence)の種類を3つのポイントで解説!

CTIサービスで提供されている情報には、下記の内容が含まれます。

  • 悪意のある第3者のサイバー攻撃のメカニズムの情報
  • 攻撃の識別方法に関する情報
  • 攻撃によって影響を受ける可能性があること
  • 情報の整理・分析で導き出し攻撃に対する防御の方法

ただし、悪意のある第3者によるサイバー攻撃にさまざまな種類があるように、CTIにもいくつかの種類が存在します。そして、一般的にCTIには、下表の種類が挙げられます。

CTIの種類 概要
戦略的インテリジェンス 脅威をコンテキストの中で捉える概要レベルの情報
戦術的インテリジェンス 脅威がどのように実行され、どのように防御できるかに関する詳細情報
運用インテリジェンス IT部門が積極的脅威管理の一環として、特定の攻撃に対する対策の実施に利用できる情報
技術的インテリジェンス サイバー攻撃が行われている具体的な痕跡情報

なかでも、「戦略的インテリジェンス」「戦術的インテリジェンス」「運用インテリジェンス」は、悪意のある第3者による攻撃からのWebセキュリティ対策でそれぞれ異なる役割があるためすべて収集することが重要です。この3つについて、さらに掘り下げてみていきましょう。

戦略的インテリジェンス

上表で戦略的インテリジェンスとは脅威をコンテキストの中で捉える概要レベルの情報と解説しました。さらに掘り下げて解説すると、戦略的インテリジェンスは、悪意のある第3者が特定企業や業界に対してどういった活動を誰に行っているのかという情報です。

提供を受けることによって、悪意のある第3者の活動の背景や動機、どんな手法で攻撃を行っているかといった、戦術・テクニック・手順が明らかにできます。企業の意思決定者は、この情報を活用することで、Webセキュリティ戦略の策定や見直しが可能となるでしょう。

戦術的インテリジェンス

戦略が企業・組織全体がどう進んだらよいかを示す方向性であるのに対し、戦術とは、その戦略を達成するための具体的な手段を示す方向性を意味します。つまり、戦術的インテリジェンスとは、悪意のある第3者によるサイバー攻撃の経路や攻撃者が使用しているツールやインフラストラクチャ、標的先といった情報のことを意味します。

一般的には、企業の意思決定者や上層部ではなく、技術的詳細を理解しているセキュリティ担当者がこの情報を主に取り扱います。担当者がこの情報を活用することで、セキュリティの制御や防御態勢の管理について、情報に基づいた意思決定が行えるようになります。自社が標的になる可能性の高さを、Webセキュリティ対策チーム全体や企業の意思決定者に理解してもらうのに役立ちます。

運用インテリジェンス

悪意のある第3者の攻撃意図や性質、タイミングなどに関する情報が運用インテリジェンスです。この情報を活用することで、いつまでに、どんな対策をしておく必要があるかが明確になります。こうした情報は、本来は攻撃者しか知らない情報ですが、実際に攻撃者から直接収集することは困難を極めます。そのため、サイバーセキュリティの専門家が、過去の事例や動向を分析・研究して、次の動きや攻撃手法を予想しなければなりません。

 

CTI(Cyber Threat Intelligence)のライフサイクルを6ステップで紹介!

CTIの収集と管理のライフサイクルを自動化することで、脅威の検知速度がより向上できます。

IT分野におけるライフサイクル(ITライフサイクル)とは、一般的に保守や運用・サポートなどのシステムを運用するための一連の過程を意味します。そんなCTIのライフサイクルは、下記の6ステップに分類されます。それぞれのライフサイクルについて詳しく解説していきます。

要件→収集→処理→分析→配布→フィードバック

ステップ①|要件

CTIにおける「要件」では、脅威インテリジェンスの運用サイクルにロードマップを定めるために、下記の内容を具体的に特定する準備を始めます。

  • 攻撃者は誰か?
  • 攻撃の動機は?
  • どこを攻撃の対象領域としているのか?
  • 攻撃に対しての最適な防御手段は何か?
  • 取るべき具体的な行動は?

このように、これから行うWebセキュリティ対策の方向性を定めるための情報を収集する準備に取り掛かります。

ステップ②|収集

CTIにおける「収集」は、要件で定めた方向性に沿って運用を開始する準備を始めるステップです。攻撃者の特定や対象領域、それに適したWebセキュリティ対策の具体的な方法を定めるための情報を収集します。このステップで成功するには、すでにこれから行うWebセキュリティ対策について、CTIの概念を踏まえた分析が済んでいることが前提ポイントです

ステップ③|処理

CTIにおける「処理」は、収集したWebセキュリティ対策に必要な情報を分析する前の段階です。収集した情報を脅威インテリジェンスを取り扱う専用のツールなどを用いて、分析に適したフォーマットに処理することでより明確な分析が可能となります。また、このステップで情報の信頼性についての評価を行い、情報の確かさを明確にすることで本当に確かな情報だけを分析が可能となるでしょう。

ステップ④|分析

CTIにおける「分析」では、処理ステップで決定したツールや方法などを駆使し、具体的かつ正確に分析を行います。数あるサイバー攻撃の特性や傾向などは、これまでのステップで蓄積された情報から分析可能です。また、専門的な知見を持った方々や担当者による情報の付加による根拠付けも実施されます。

ステップ⑤|配布

CTIにおける「配布」は、分析結果を分かりやすく、そして担当ごとに適したフォーマットに変換して配布するステップです。提言は複雑な専門用語はあまり使わず、誰もが分かりやすく簡潔にまとめるのがよいでしょう。また自社内だけでなく、関係のある他社にも配布し、CTIを共有し共同でのWebセキュリティ対策に役立てます。

ステップ⑥|フィードバック

CTIにおける「フィードバック」では、最新のCTIと既存の仕組みを比べ、今後の運用に切り替えや調整が必要かどうかについて判断します。万が一に備え、必要がなくてもCTIは常に最新化しておくべきです。また、最新のCTIの利用結果から、各作業の見直し・検討も行います。

 

まとめ

今回は、CTI(Cyber Threat Intelligence)の重要性について解説してきました。悪意のある第3者から自社を守るために、なぜCTIが重要となるのかご理解いただけたことでしょう。CTIがサイバー攻撃対策のために重要であることが広く知られるようになったことで、CTIの提供を行っているサービスは年々増加傾向にあります。しかし、自社に合ったサービスや最適な製品を選定することは容易ではありません。

CTIにもさまざまな種類が存在するように、サービスごとに提供されるCTIも異なります。そのため、自社に本当に必要なCTIを提供しているサービスを選ぶことは重要です。

数多く存在するCTIに関するサービスのなかでも、弊社おすすめのサービスはこちらです。

Cloudbric Labsは世界中から収集したWeb脆弱性やリスク情報を当社セキュリティ専門家が分析し、その結果をまとめて提供するプラットフォームです。このプラットフォームはCybersecurity Insidersが主催する2018 Cybersecurity Excellence Awardsで「今年のサイバーセキュリティプロジェクトのアジア・パシフィック部門(Cybersecurity Project of the Year-Asia/Pacific)」を受賞するなど、世界からも注目されています。

Cloudbric Labsは次の3つのサービスを現在無料で提供しております。ぜひ、ご覧ください。

1.Threat DB:Cloudbric WAF+から収集したサイバー脅威に対するデータベース。フィッシングURL、ブラックIPなど、1万件を超える脅威データを保有、Web脅威データの照会、情報提供、API利用が可能。

https://labs.cloudbric.com/threatdb

2.WAFER:OWASP・Exploit DBパターン及びクラウドブリック・ラボのリサーチチームによって厳選された攻撃パターンを使用し、現在利用中のWAFのセキュリティ性能を評価できるツール。

https://labs.cloudbric.com/wafer

3.Threat Index:CVE、Exploit DBなどの脆弱性情報提供サイトから取りまとめた様々なWeb脆弱性を検索できるツール。

https://labs.cloudbric.com/threatindex

 

脅威インテリジェンスについて

【注目】次世代のセキュリティ戦略とは?脅威インテリジェンスについて解説!

悪意のある攻撃者は絶えず新しい脆弱性を探し出し、システムやネットワークにさまざまなサイバー攻撃を仕掛けてきます。このような社会的背景から、脅威インテリジェンス(Threat Intelligence、スレットインテリジェンス)の価値は、グローバル規模で高まりをみせています。

本記事では、次世代のセキュリティ戦略として注目されている脅威インテリジェンスについて解説しています。また、脅威インテリジェンスの市場規模や企業が取り組むメリット、今後の展望などについても紹介していますので、ぜひ参考にしてください。

 

脅威インテリジェンスとは?グローバル市場規模について考察!

まずは、脅威インテリジェンスとは何なのか?詳しくみていきましょう。

脅威インテリジェンスとは?

脅威インテリジェンスの「脅威」とは、リスクを発生させる要因・情報資産に損失を与える要因のことです。そして、脅威には、主に下記の3つの要因が挙げられます。脅威インテリジェンスでの脅威は、「意図的脅威」を意味します。

  • 意図的脅威:悪意のある攻撃者による悪意ある行為
  • 偶発的脅威:故意でない行為による情報の漏洩
  • 環境的脅威:自然災害などによるシステムの停止

ちなみに、もともとインテリジェンスの意味は、知能やそれの働き、あるいは知能が働くうえで利用する情報群などを内包した概念のことです。「インテリジェンス=情報・諜報」とも和訳できるため、脅威インテリジェンスは、「脅威情報」と捉えがちですが、実はそうではありません。

実質的な意味は、脅威インテリジェンスが単なる脅威に関する情報に留まることではなく、複数の脅威情報から、攻撃者の動機・標的・攻撃パターンを分析し、その分析結果による根拠に基づいたサイバー攻撃に関するデータのことを指します。

 

脅威インテリジェンスのグローバル市場規模は?

巧妙化する悪意のある攻撃者からの脅威を防止するためには、攻撃の予兆となる情報をいち早く収集し、あらかじめ対策を行うことが必要です。そして、複数のソース(情報源)から収集した情報・データを分析し、実用的な知見を提供するサービスが「脅威インテリジェンスサービス」です。

脅威インテリジェンスサービスが誕生した時期は比較的最近ですが、市場規模は年々拡大しており、「SDKI Inc.」が2021年08月04日に発刊した「脅威インテリジェンス市場の新レポート」によると、脅威インテリジェンス市場は2022年には89.4億米ドルの市場価値となると推定されています。さらに、同レポートでは2030年までに291.6億米ドルに達するとも推定されています。

そして、予測期間中に、脅威インテリジェンス市場が最も高く成長すると予想されている国としてはインド、中国、オーストラリア、香港、日本等のアジア太平洋(APAC)地域が含まれています。実際、アジア太平洋地域では、中小企業および大規模組織で、脅威インテリジェンスサービスの導入が加速しています。

 

次世代のセキュリティ戦略!脅威インテリジェンスの活用と企業が取り組む3つのメリットとは?

脅威インテリジェンスサービスの採用・導入は、現代のようなグローバル社会において次世代のセキュリティ戦略・対策として注目されています。脅威インテリジェンスを活用すれば、従来の対策では防ぐことのできなかった新種の脆弱性に対応することが可能となります。

企業が脅威インテリジェンスの取り組む場合、下記の3つの取り組みを行うことが重要です。

  • 情報の明確化
  • 報告内容の明瞭化
  • プロセスの構築

それぞれについて、詳しく解説していきます。

情報の明確化

脅威インテリジェンスは、さまざまな情報源から大量の情報を集める必要があります。しかし、情報収集には大きな労力と負担がのしかかります。その労力を軽減させるためにも、まずは収集対象とする情報とその情報源を明確化することが重要です。そして、情報を明確化するためにも、下記の3つの分類ポイントは意識しましょう。

  • サイバーセキュリティ戦略の立案に利用される情報
  • リスク評価やインシデント対応に利用される情報
  • 脅威で観測される具体的な事象に関する情報

このように分類することで、脅威情報が明確化でき、さらに収集後の分析に繋げやすくなります。

報告内容の明瞭化

分析結果によって得られた脅威インテリジェンスは、その内容を社内で共有しておかなければ意味がありません。また、報告する相手によって報告の粒度や内容が異なります。社内で共有する際の報告形式の構造化と、必要な内容と粒度で伝わる報告内容の明瞭化した記述も重要なポイントです。

プロセスの構築

利用に関する一連の活動をプロセス化することも重要です。脅威インテリジェンスの内容が社内で共有できていても、具体的なアクションを起こさなければ効果は発揮しません。得た情報から、具体的なアクションを起こすためのプロセス構築にも取り組んでおくことも、脅威インテリジェンスの活用のポイントです。

脅威インテリジェンスの活用で得られる3つのメリット!

次に、脅威インテリジェンスを活用することで得られるメリットについて紹介します。

攻撃の検知と攻撃の明確化

悪意のある攻撃者による攻撃があっても、その攻撃が検知できていなければ対応はできません。脅威インテリジェンスを活用することで、未知の脅威も検知可能です。また、脅威インテリジェンスサービスには攻撃の明確化して可視化してくれる内容も含まれるため、より優れたWebセキュリティへの意思決定が可能となります。

攻撃の事前予測と防御

脅威インテリジェンスを活用すれば、攻撃の事前予測や攻撃発生時に迅速な対応(防御)ができます。脅威インテリジェンスサービスのなかには、膨大な情報から分析によって導き出された推測等に基づき、不正なプログラムが実際に動く前に発信元やコードの内容から、危険性を事前に予測して防いでくれます。

対応方法のプロセス化

対応方法がプロセス化できることも、脅威インテリジェンスの大きなメリットです。対応方法をプロセス化しておくことで、攻撃への対応をその場で考えるのではなく、既存の対応方法から最適な対応を当てはめることができるため、迅速に対処できます。

 

次世代のセキュリティ戦略における脅威インテリジェンスの今後の展望は?

前述したとおり、脅威インテリジェンスの市場規模は、2022年には89.4億米ドル、2030年までには291.6億米ドルの市場価値となると推定されています。今後も、悪意のある攻撃者が次々に新たな手口を生み出し、Webセキュリティ上の脅威が高まっていくと予測されます。その脅威に対抗できる手法である脅威インテリジェンスは、「未知の脅威に対する防御ができる」「攻撃を未然に防ぐことができる」「サポートサービスなど手軽に導入できる」などの理由で、今後利用が拡大していくと考えられます。

また、日本で利用可能な脅威インテリジェンスサービスは、過去~現在の脅威情報が中心ですが、今後発生しうる脅威や侵害の予兆を捉えることも重要です。そのため、攻撃リスクそのものを低減してくれるサービスや低コストなサービスも増えていくことでしょう。

 

さいごに

今回は、次世代のセキュリティ戦略である「脅威インテリジェンス」について解説してきました。日本を取り巻くサイバー脅威は益々巧妙化・進化を続けているため、脅威インテリジェンスの取り組みはいち早くスタートしておくべきです。脅威インテリジェンスに取り組むことで、迅速で情報に基づいたセキュリティの意思決定ができるようになり、侵害に対する防御を受動的なものからプロアクティブなものに変えることができるでしょう。もし、自社単独での取り組みが困難な場合は、脅威インテリジェンスサービスの採用・導入をおすすめします。

Cloudbric Security Platformにて提供されるすべてのサービスは、95ヵ国から収集したWeb脆弱性やリスク情報など脅威インテリジェンスを活用しております。従来の対策では防ぎきれなかった新種の脆弱性に対応する様々なサービスをご利用頂けますので、ぜひ参考にしてください。