Google Cloud Next Tokyo:7/30、31 東京ビッグサイトにて開催!

脅威インテリジェンスとは

脅威インテリジェンスとは、潜在的または現存するサイバー攻撃に関する情報のことで、脅威から組織を守るために活用されます。未加工の脅威データを実用的な分析情報へと変換することで、セキュリティ チームが攻撃の検出、防止、対応に利用できるようにします。脅威インテリジェンスは、単に情報を収集するだけでなく、誰が攻撃を行っているのかや、その手法や動機について明らかにするほか、攻撃が進行中なのか、あるいは攻撃される具体的な兆候があるのかといった、状況に関するコンテキストも提供します。

Google Threat Intelligence のご紹介

サイバーセキュリティにおける脅威インテリジェンスとは

脅威インテリジェンスを効果的に活用することで、サイバーセキュリティ チームは事後対応型の防御から予防的な防御へと移行できます。攻撃が発生してから対応するのではなく、攻撃者が悪用する前に脆弱性を特定して、攻撃パターンが明らかになった時点で認識することで、境界線で脅威を阻止できるよう防御体制を整えることが可能になります。このデータドリブンなアプローチにより、脅威の出現から組織が防御できるようになるまでの時間を短縮できます。

脅威インテリジェンスが重要な理由

脅威インテリジェンスは、情報に基づいたセキュリティ上の意思決定を行うために必要なコンテキストを提供します。これがない場合、セキュリティ チームは膨大な量のアラートや潜在的な脅威に直面することになり、どれが重要なのかについての指針が限られてしまいます。脅威インテリジェンスは、真の脅威と誤検知を区別し、組織に対する実際のリスクに基づいて対応の優先順位付けを行うのに役立ちます。

攻撃者は新しい手法を開発し、新たに発見された脆弱性を悪用するため、脅威の状況は絶えず変化しています。脅威インテリジェンスを活用することで、過去の脅威だけではなく、現在の攻撃手法に合わせて防御体制を整えることできます。脅威アクターが使用する戦術、手法、手順(TTP)を理解することで、攻撃チェーンの早い段階でその活動を検出し、被害が発生する前に阻止できます。

脅威インテリジェンスを効果的に活用することで、攻撃の成功頻度と被害の影響の両方を低減できます。自社の業界を標的とする脅威を特定し、攻撃者の手口を把握することで、直面する可能性が高い攻撃に焦点を当て、実際に防御効果を発揮できる対策にセキュリティ投資を集中させることができます。

脅威インテリジェンスを一元化するメリット

脅威インテリジェンスを一元化することで、セキュリティ担当者は、台頭しつつある脅威アクターやマルウェアに関する状況認識を得ることができます。一元化されたリポジトリには、CVSS と EPSS の重大度スコアを含む公開されている脆弱性に関する説明が用意されているため、環境全体で一貫してリスクを評価できます。また、ブラウザ プラグインを使用して、公開されている脅威インジケーターを検索し、Mandiant インジケーターの信頼度スコアを任意のウェブページに直接埋め込むことができます。

セキュリティ アナリスト、インシデント対応担当者、SOC マネージャーは、一元化されたインテリジェンスをアラートの優先順位付けやトリアージに利用できます。最新の脅威インテリジェンスを使用して、セキュリティ イベント情報に優先順位を付け、コンテキストを把握することで、アラート疲れが軽減され、SOC の全体的な効率が向上します。インテリジェンスの一元化は、隠れた脅威の発見にも役立ちます。インジケーターをダウンロードし、検出ツールを拡張することで、環境内に潜伏している脅威アクターやマルウェアの活動を検出できます。

脅威インテリジェンスを一元化することで、MITRE ATT&CK に基づくアクターの行動に関する分析情報をセキュリティ アナリスト チームに提供でき、対応を迅速化できます。これらの分析情報により、攻撃の進行状況を把握し、適切な対応を策定できます。複数のチームが同じインテリジェンス ソースにアクセスすることで、組織全体で脅威に対する共通の認識を確立し、連携した防御体制を維持できます。

3 種類の脅威インテリジェンス

脅威インテリジェンスは、対象となるユーザーや目的に応じて、さまざまなレベルで運用されます。戦術的インテリジェンスは、攻撃を検出してブロックするために必要となる詳細な技術情報を提供します。オペレーション インテリジェンスは、脅威ハンティングをガイドし、攻撃者の行動を理解するのに役立ちます。戦略的インテリジェンスは、長期的なセキュリティ計画やリソース配分の指針となります。各インテリジェンスは、包括的な脅威インテリジェンス プログラムにおいて独自の役割を果たします。

脅威コミュニケーション ワークフロー

戦術的な脅威インテリジェンス

戦術的脅威インテリジェンスは、差し迫った脅威に焦点を当て、それらを検出するために必要な技術的な詳細情報を提供します。これらの情報には、既知の攻撃に関連する悪意のある IP アドレス、ファイルハッシュ、ドメイン名、URL などのセキュリティ侵害インジケーターなどがあり、セキュリティ ツールで利用することで、脅威を自動的に特定してブロックできます。攻撃者は頻繁にインフラストラクチャを変更するため、戦術的インテリジェンスの有効期間は短い傾向にあり、その有効性を維持するためには絶え間ない更新が必要です。SOC チームやインシデント対応担当者は、日々の脅威の検出や対応に利用できます。

運用上の脅威インテリジェンス

オペレーション脅威インテリジェンスは、脅威アクターが攻撃を実行するために使用する TTP に関する詳細情報を提供します。このインテリジェンスは、特定の技術的指標ではなく、攻撃者の行動と手法を理解することに重点を置いており、どの脅威グループが自社の業界を標的にしているか、どのように初期アクセスを獲得しているか、ネットワーク内に侵入した後に何をしているかを特定できます。セキュリティチームは、脅威のハンティング、検出機能の向上、インシデント対応手順の策定に活用できます。攻撃者の手法はインフラストラクチャの進化よりも遅いため、オペレーション インテリジェンスは通常、戦術的インテリジェンスよりも長く有効性を保つことができます。

戦略的な脅威インテリジェンス

戦略的脅威インテリジェンスは、脅威の状況に関する大まかな分析情報を提供します。セキュリティ投資やリスク管理について、経営陣が情報に基づいた意思決定を行う際に役立てることができます。業界に影響を与えるトレンド、脅威アクターの行動に影響を与える地政学的な要因、さまざまな脅威シナリオがビジネスに及ぼす可能性のある影響を網羅しており、通常は、経営幹部、取締役、その他の非技術系のステークホルダー向けにレポートやブリーフィングの形で提示されます。セキュリティ戦略とビジネス目標を整合させるために利用できるほか、経営陣に対してセキュリティ リスクを明確に説明できます。

脅威インテリジェンスのライフサイクルを理解する

脅威インテリジェンスのライフサイクルは、組織に対する潜在的な脅威に関する情報を収集、分析、共有するための構造化されたプロセスです。セキュリティ チームは、この循環的なフレームワークを活用して、元データを実用的なインテリジェンスへと変換し、防御体制の強化を図ります。ライフサイクルの各フェーズは次のフェーズへとつながり、脅威の状況が進化する中でも、脅威インテリジェンスの関連性と有用性を維持できる継続的な改善プロセスが形成されます。

計画フェーズでは、どのようなインテリジェンスが必要なのかを検討し、その理由も明確にします。セキュリティ チームの主導のもと、ステークホルダーと協力してインテリジェンス要件を定義します。これには、自社の業種を標的とする攻撃主体を把握すること、悪用される可能性が高い脆弱性を特定すること、新たな攻撃手法が自社のインフラストラクチャに影響を与えるかどうかを判断することなどが含まれます。

収集とは、インテリジェンスの要件を満たすために、複数のソースから未加工の脅威データを収集するプロセスです。ソースには、脅威インテリジェンス フィード、内部システムのセキュリティ ログ、情報共有コミュニティ、オープンソース インテリジェンス、商用脅威インテリジェンス プロバイダなどがあります。このプロセスの目的は、要件を満たす関連性の高いデータを収集すると同時に、不要なノイズを排除することにあります。

処理とは、未加工の脅威データを分析に適した形式に変換するフェーズです。これには、さまざまなソースからのデータを一貫性のある形式に正規化する、重複を削除する、関連情報を相関付ける、誤検出をフィルタリングするなどの作業が含まれます。脅威データの量は通常、アナリストが手作業で処理できる範囲をはるかに超えるため、これらの作業の多くは自動化ツールによって行われます。

分析では、処理されたデータから有意義な分析情報を抽出し、要件を満たすインテリジェンスを生成します。アナリストはパターンを特定し、組織に対する脅威の関連性を評価して、適切な対応策を決定します。このフェーズでは、脅威レポート、ブリーフィング、推奨事項といった最終的なインテリジェンス プロダクトが生成され、ステークホルダーはこれらを活用してセキュリティに関する意思決定を行うことができます。

フィードバック段階の目的は、インテリジェンスがステークホルダーのニーズを満たしているかどうかを評価し、ギャップや新しい要件を特定することです。ステークホルダーは情報の有用性や適時性について意見を述べ、それをもとに収集の優先順位、分析手法、情報提供の方法を調整します。このフィードバックにより、要件を洗練するサイクルが確立され、将来のインテリジェンスの価値がさらに高まります。

Google と連携

Google のサイバーセキュリティ専門家にお問い合わせください。
Google Cloud の脅威インテリジェンスを確認する

次のステップ

$300 分の無料クレジットと 20 以上の無料枠プロダクトを活用して、Google Cloud で構築を開始しましょう。

Google Cloud
ドキュメントサポート
コンソール
ログイン
  • デジタル変革を加速させましょう
  • お客様がデジタル トランスフォーメーションに乗り出したばかりでも、あるいはすでに進めている場合でも、Google Cloud は困難な課題の解決を支援します。
  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
  • Google の透明性の高い料金設定の手法で費用を削減
  • Google Cloud の従量課金制では、毎月の使用量と、リソース料金の前払い割引に基づいて自動的に割引が適用されます。見積もりをご希望の場合は、今すぐお問い合わせください。
Google Cloud