読み方 : きょういインテリジェンス
脅威インテリジェンス【threat intelligence】
概要
サイバーセキュリティにおいて、従来は既知のウイルスを検知するといった受動的な防御が中心であったが、攻撃手法の高度化に伴い、先回りした対策が求められるようになった。脅威インテリジェンスは、攻撃者がどのような組織を狙い、どのような脆弱性を悪用しようとしているかを把握することで、被害を未然に防ぐことを目的としている。
分析対象としては、攻撃手法やマルウェアの特徴、攻撃者が用いる手法やツール、侵入経路、悪用されやすい脆弱性、攻撃の兆候となる通信パターンなどが含まれる。これらの情報は、公開レポートやセキュリティ機関の勧告、セキュリティベンダーの分析結果、情報共有コミュニティ、組織内部のログやインシデント対応記録、ダークウェブ上の調査報告など、多様な情報源から収集される。
収集されたデータそれ自体は、自社のセキュリティという文脈に即した情報ではないため、関連性の整理や信頼性の評価、背景の解釈、自社環境への脅威となり得るかといった分析・評価を経て、実務で使える知識へと変換される。例えば、自組織の業種や地域を狙う標的型攻撃が増加していると分かった場合、それに対応した監視ルールの追加や脆弱性対策の前倒しといった判断が可能となる。
脅威インテリジェンスは、知見を活用する対象者や部署によって何段階か異なるものを用意する場合がある。例えば、経営層がリスク判断を行うための「戦略的インテリジェンス」、現場のIT運用担当者が攻撃の予防・検知・対処に用いる「戦術的インテリジェンス」、CSIRTやSOCなどの要員が攻撃手法を分析してセキュリティ改善を図るための「運用的インテリジェンス」といった具合である。
共有ボタンをタップ