新型コロナウイルスの世界的まん延に端を発した世界情勢の急激な変化とともに、サイバー攻撃が世界各地で猛威を振るっています。こうしたサイバー攻撃の中から、従来のセキュリティ対策では対応しきれなくなった脅威が登場し、未然に防ぐための新しい戦術・戦略が求められています。地政学的な要因などへの対応を可能にする新しい情報戦略として近年注目されているのが「脅威インテリジェンス」です。この記事では、脅威インテリジェンスの概要や導入について解説します。

脅威インテリジェンスとは？

脅威インテリジェンス（Threat Intelligence）とは、サイバー攻撃や不正アクセスなどの脅威に関する情報を収集・分析し、組織のセキュリティ対策に活用するプロセスです。これには、攻撃者の動機、手法、標的、使用されるマルウエアやインフラなどの情報が含まれます。

この情報は、セキュリティ対策の優先順位付けや、脆弱性への迅速な対応、インシデント対応の強化に役立ちます。

国際規格である ISO/IEC 27005（情報セキュリティリスクマネジメントのガイドライン）では、情報セキュリティリスクを以下のように定義しています： 「脅威が脆弱性を悪用することで、資産に損害を与える可能性」 この定義に基づき、脅威インテリジェンスは「脅威」の理解を深め、リスク評価の精度を高めるための重要な情報源として活用されます。

既存のセキュリティ対策の“穴”

従来のセキュリティ対策では、あるべきセキュリティの姿と照らし合わせて、脆弱性を現状分析し、脆弱性の“穴”を埋める「コンプライアンス型」が主流でした。このアプローチでは、脅威に対する対応の優先順位を付けるのが難しいという課題がありました。

例えば、2020年に発生した米国SolarWinds社へのロシアからのサイバー攻撃事件では、SolarWinds社のソフトウエアのアップデートが“トロイの木馬”と化し、同社の顧客が使用するネットワークにマルウエアが拡散しました。この事件は同社が設定したセキュリティシナリオに対して“意図”を持って設計された攻撃でもあり、顕在化した脆弱性に対するコンプライアンス型の対応では困難な、戦略的な備えの必要性を示しています。

脅威インテリジェンスが必要とされる要因

独立行政法人 情報処理推進機構（以下、IPA）のプロジェクトチームが作成した『脅威インテリジェンス 導入・運用ガイドライン』では、脅威インテリジェンスが必要とされる要因を次のように分析しています。具体的には、二国間の紛争や他国からの訴訟トラブルといった「政治的要因」、サイバー攻撃がもたらす甚大な被害といった「経済学的要因」、世界各国のリーディングカンパニーが脅威インテリジェンスを重視するという「社会的要因」、IT技術の高度化・複雑化が脅威を多様化させたという「技術的要因」、機密情報へのアクセスを制限するという経済安全保障に不可欠な法案（セキュリティ・クリアランス制度）の確立という「法的要因」、脅威の多様化や発生件数の増加という「環境的要因」という6つの要因が挙げられています。こうした背景が脅威インテリジェンスという新しい戦略・戦術の構築を求めているとしています。

脅威インテリジェンスがもたらす新しい戦略

脅威を分析することで脆弱性に優先順位付けし、セキュリティ対策のリソースを適切に配分することによって未知の脅威にも対応しようというのが、脅威インテリジェンスの骨子です。ISO/IEC 27002では2022年に脅威インテリジェンスの項目が追加されました。それによると、個別の攻撃手法や組織が置かれている環境などの情報を収集し、適切な予防策を提示する必要があります。脅威インテリジェンスにより、組織が携わるビジネスに依存した脅威への対策を立てられるだけでなく、個別のサイバー攻撃がなぜ発生したのかという裏付けも可能となります。

脅威インテリジェンスをどのように導入する？

IPAは脅威インテリジェンス導入のための基本的な指針として、方針策定フェーズ、収集・加工フェーズ、分析フェーズ、配布フェーズ、評価フェーズという5つのフェーズから成り立つライフサイクルを挙げています。

方針策定フェーズ

インテリジェンスの目的と要件を明確化するフェーズです。「どんなインテリジェンスが欲しいのか？」という点について、利用者から意図や目的をヒアリングし、情報収集やインテリジェンスの方向性、報告の頻度などを明確化します。策定したインテリジェンス要件（RFP）は、どのサービスが利用者のニーズに適しているかの選定に役立ちます。

収集・加工フェーズ

策定した方針に従って、情報を収集するフェーズです。情報の収集経路としては、セキュリティ機器から取得できるアラート、ログ、パケット情報や、公開情報、SNS、有償の脅威インテリジェンスベンダーなどの外部ソース、ハッカーコミュニティやダークウェブでのやり取りなどが考えられます。また、データの加工（前処理）方法として、データの正規化やレポジトリ化、データの評価や追加情報の取得、データの可視化などの手法が考えられます。

分析フェーズ

策定した要件を満たすように情報を分析するフェーズで、脆弱性がどの経路から狙われるかなど、インテリジェンスを仮説形成します。代表的な分析手法としては、経営層向けに脅威に対する適切な意思決定を促す「戦略的インテリジェンス」、セキュリティ管理者向けに侵入経路とそれと紐づくセキュリティ対策についての情報を実際の対策に活用する「運用的インテリジェンス」、ITサービス管理者向けにマルウエア情報やIPアドレスなど直接的な情報（IoC情報）を基に対策の実施を促す「戦術的インテリジェンス」の三つが挙げられます。

配布フェーズ

作成したインテリジェンスを経営層やセキュリティ担当者、ITサービス管理者などと共有します。インテリジェンスの配布サイクルは、日次から年次まで種類によって開きがあります。共有予定のインテリジェンスの内容は、方針策定フェーズであらかじめ定義しておく必要があります。

評価フェーズ

方針策定から配布までのプロセスは完結したものではなく、継続した改善が求められます。あらかじめ策定したインテリジェンス要件を基に、情報収集の適格性や分析結果の信頼性など、各フェーズを評価することでライフサイクルの改善に役立てます。脅威を未然に防げなかったことだけが「インテリジェンスの失敗」ではなく、認知バイアスやインテリジェンスそのものの政治利用の有無など、改善につながる複数の要因が考えられます。

新時代のサイバー攻撃に対応したい

『脅威インテリジェンス 導入・運用ガイドライン』によると、セキュリティ指標の総合評価（2020）における日本のインテリジェンスの順位は18位と、総合評価（9位）に比べて低いことが明らかになっています。ISO/IEC 27002に脅威インテリジェンスの項目が追加されたこと（2022年）や、NTTデータ先端技術株式会社による脅威インテリジェンスサービスの開始（2020年）など、一般企業側にも徐々に浸透しています。とはいえ、脅威インテリジェンスは万能ではなく、サイバー攻撃を防ぐ一つの手段にすぎません。先述したSolarWinds社の事件は“インテリジェンスの失敗”と位置づけることも可能です。セキュリティ対策として「ゼロトラスト」が近年注目されており、米国国立標準技術研究所（NIST）のSP800-207文書（Zero Trust Architecture）でもゼロトラストアーキテクチャを構築するための一つの可能性として脅威インテリジェンスが明記されています。こうしたことから、ほかのセキュリティ戦略と連携させることで一層強固なセキュリティ対策を講じることができるでしょう。