攻撃を未然に防ぐだけでなく、ゼロトラストを前提に検知・対応することが求められるのが現代のサイバーセキュリティです。経済産業省が2023年3月に公開した『サイバーセキュリティ経営ガイドライン Ver 3.0』においても「指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築」の中で、インシデントの予兆を検知する仕組みをアップデートする必要性が記述されています。そのためCSIRTやSOCといったセキュリティ組織が活用する重要情報の一つとしてIoCが挙げられます。

──IoCとは何なのか、どのように活用すればよいのか。 気になるポイントについて基礎からご紹介します。

CSIRTやSOCについては『セキュリティ対策の専門組織「SOC」とは？』『このままのセキュリティ対策では不安？高度なセキュリティ技術を提供するSOCサービス「ICT-24SOC」とは』といった記事でも取り上げています。ぜひご一読ください。

「IoC（Indicator of Compromise）」は“サイバー攻撃が行われることで残される痕跡”

IoC（Indicator of Compromise）は侵害指標やセキュリティ侵害インジケーターとも言い、サイバー攻撃が行われることで残される痕跡を意味します。IoCに該当する情報としては、下記のようなものが挙げられます。

• 攻撃者のIPアドレスやポート番号、URI
• マルウエアのファイル名やファイル形式、シグネチャ
• マルウエアにより変更された設定やデータ
• 不正アクセスや管理者アカウントへのログインなどに関するアクティビティ

IoCはデジタルフォレンジックを通して収集・分析するだけでなく、共有することでEDR（Endpoint Detection and Response）や共有基盤を強化し、産業や企業全体のセキュリティを向上させることに貢献します。

IoCが共有されるプラットフォームとしてはOpenIOC、STIX(Structured Threat Information eXpression)、MISP（Malware Information Sharing Platform）などが知られており、それぞれGitHubなどで公開されています。

IoC（Indicator of Compromise）を「脅威インテリジェンス」に活用する方法

IoCのようなサイバーセキュリティの脅威に関するデータを活用して高度なセキュリティ対策を行うことを「脅威インテリジェンス」と呼びます。サイバー攻撃が増加・高度化する中で、脅威インテリジェンスはますます重要視されています。

企業がIoCを用いてサイバーセキュリティを強化するためには、「収集→分析→活用→改善」のサイクルを適切に回すことが必要です。具体的には、JSONやXML形式で記述された脅威情報にメタ情報を付加し、それを整理して人間の判断に役立てることで、IoCが効果的に脅威インテリジェンスとして機能します。

特定の企業を狙った標的型攻撃や、連鎖的なサイバー攻撃被害の拡大を狙ったサプライチェーン攻撃は近年増加傾向にあり、コンピューターと人による処理・分析を通してIoCを昇華させていくことで、そうした高度な攻撃の予兆や狙いも見出しやすくなるはずです。

また、攻撃者の残した痕跡を表すIoCに対し、攻撃者の戦術や攻撃手法に着目して収集される情報を「TTP（Tactics, Techniques, and Procedures：戦術、技術、および手順）といい、それらを照合することで重要なセキュリティ情報や脆弱性対策情報のレポートは作成されているのです。

IoCと「IoA」や「IoB」は何が違うのか

IoCの関連用語として「IoA」や「IoB」について耳にしたことがある方もいらっしゃるでしょう。IoCとそれらはどのように異なるのでしょうか。

IoA（Indicator of Attack）は、日本語では攻撃の指標と訳され、侵害が実際に行われた痕跡を指すIoCに対し、侵害が発生する前のマルウエアの行動や予兆を意味します。IoAを捉えることで、未然にサイバー攻撃を予見し、対抗策を講じることが可能になります。

IoB（Indicator of Behavior）は、日本語ではふるまいの指標と訳され、コンピューター上で行われる操作や手順を文脈として捉え、サイバー攻撃の検知と排除に活用するために用いられます。巧妙化するマルウエア攻撃への対抗手段である「ふるまい検知」に活用されており、ゼロデイ攻撃などへの対抗手段となるとして注目を集めています。

ここまでの記述に表れている通り、IoAとIoBには重なる部分もあり、未然、あるいはリアルタイムのサイバー攻撃対策として押さえておきたいフレーズといえます。

サイバーセキュリティに向けて求められる連帯と情報共有

脅威インテリジェンスの実践において欠かせないIoCについて基礎からご説明しました。サイバーセキュリティは政府や企業の健全な活動の礎となっており、プラットフォームや文書、コミュニティによる連帯と情報共有がそのための強い味方となります。これからの情報セキュリティに役立つデータの一つとして、IoCにぜひご注目ください。