脅威インテリジェンスをうまく活用するための5つのユースケース：セキュリティニュースアラート

Recorded Futureは現状を踏まえて、同社のブログでまとめていた脅威インテリジェンスソリューションのユースケースをアップデートした。脅威インテリジェンスを効果的に活用する5つのユースケースが紹介されている。

[後藤大地，有限会社オングス]

　Recorded Futureは2024年6月25日（現地時間）、同社のブログで脅威インテリジェンスソリューションのユースケースについて説明した。

　サイバー攻撃が高度化・複雑化する中、組織はサイバー脅威インテリジェンスソリューションを活用することが不可欠になりつつある。Recorded Futureはこれに対応するためにドキュメントをアップデートし、脅威インテリジェンスの啓発に努めている。

脅威インテリジェンスをうまく活用するための5つのユースケース

　Recorded Futureは脅威インテリジェンスを以下の4つのタイプに分類している。

• 戦略的脅威インテリジェンス：　新たなトレンドや地政学的イベント、主要な脅威アクターなど脅威状況の概要を提供
• 戦術的脅威インテリジェンス：　脅威アクターが使用するTTPs（サイバー攻撃の戦術、技術、手順）に焦点を当てる
• オペレーショナル脅威インテリジェンス：　現在アクティブまたは差し迫った特定のインシデントやキャンペーンを説明する、より迅速で実用的なデータ
• 技術的な脅威インテリジェンス：　IPアドレスやドメイン名、ファイルハッシュ、マルウェアシグネチャなど特定のセキュリティ侵害インジケーター（IoC）を含むデータを提供する

　これらの情報はオープンソースインテリジェンス（OSINT）やソーシャルメディア、技術データ、ダークWebモニタリングなどさまざまな情報から収集され、サイバー脅威を防止、検出、対応を目的とした実用的な洞察を提供するために使われる。

　Recorded Futureはこれらの脅威インテリジェンスを活用するプラットフォームの最も効果的な使用法について次の5つのユースケースを取り上げている。

1. 既存のセキュリティ技術へ脅威インテリジェンスを統合：　脅威インテリジェンスをセキュリティプロセスに統合することでインシデント対応の意思決定を改善しセキュリティポリシーを強化できる。脅威インテリジェンスはSIEM（Security Information and Event Management）や侵入検知、エンドポイント保護、Webアプリケーション保護などさまざまなセキュリティ技術分野で統合の取り組みが進められている。組織がまだ脅威インテリジェンスを導入していない場合、既存のセキュリティ製品と統合しやすい機械可読型脅威インテリジェンスを活用することが推奨される
2. セキュリティチームのための脆弱（ぜいじゃく）性優先順位付け：　効果的な脅威インテリジェンスプログラムは脆弱性を評価し、優先順位を付けるためのデータを収集し、分析を実施できる。これまでのアプローチでは「全てにパッチを適用する」ことになるが、これは現実的ではなく多くの組織は「最も大きな」問題を優先して対処している。しかし実際には古い脆弱性も依然として多くの被害を引き起こしており、新しい脅威よりも既知の脆弱性にもパッチを適用することが重要になっている。エクスプロイトは指数関数的に増加しており適切な優先順位での対応が必要となっている
3. オープンソースとクローズドソースの双方から脅威データを収集する：　脅威インテリジェンスソリューションはオープンソースとクローズドソースから脅威データを収集する。オープンソースはインターネット上で公開されるデータで全体の約4％を占める。残りの96％はディープWebとダークWebに分かれる。ディープWebには科学的、あるいは学術的、政府の報告書などのデータが含まれる。ダークWebには匿名性を提供するWebブラウザを介してアクセスでき多くの違法なマーケットプレースが存在する。脅威インテリジェンスソリューションはこれらの空間からデータを収集し包括的で最新の脅威状況を維持することが重要となる
4. ブランドモニタリングの活用：　脆弱性やエクスプロイトの議論は主にクローズドな部分で実施されるが、ソーシャルメディアでの新たなサイバー脅威を監視するオープンソースの脅威インテリジェンスも重要となっている。脅威を特定するにはスキルと専門知識が必要であり、ソーシャルエンジニアリングに依存する巧妙な脅威には注意が必要となる。ブランド監視を含む脅威インテリジェンスは偽のソーシャルメディアプロファイルや悪意のあるリンクを特定し、知的財産の損失を評価する。効率的な脅威インテリジェンスソリューションは誤検知が少なくフィッシングやドメイン詐欺などのサイバー攻撃を特定できる
5. 脅威指標の調査、強化、対応：　全ての攻撃を防げるわけではないが、脅威インテリジェンスソリューションはインシデント対応の速度と精度を向上させられる。脅威の検出と対応を含むバランスの取れたアプローチが推奨されており、この方法には脆弱性の優先順位付けの再考や疑わしいファイルやドメインを大規模データセットと比較する機能が含まれている。高度なソリューションは脅威をプロアクティブに追跡し、脅威ハンティングを実施することで成熟した組織に貴重な追加のセキュリティレイヤーを提供する

　Recorded Futureは脅威インテリジェンスをサイバーセキュリティ戦略に組み込むことが進化するサイバー脅威に対応するために不可欠だと指摘している。脅威インテリジェンスソリューションの実装はセキュリティチームを強化し巧妙化するサイバー脅威から防御する上で重要となる。

　脅威インテリジェンスは脅威の予測や特定、対応に必要な実用的な洞察を提供し、セキュリティチームが常に攻撃者の一歩先を行くことを保証する。これによってサイバーセキュリティインシデント対応の強化やプロアクティブな脅威ハンティング、脆弱性管理を通じて組織は資産を保護し、リスクを軽減し、より安全なデジタル環境を確保できる。

　今回のブログ「5 Threat Intelligence Use Cases and Examples」はもともと2018年1月23日に公開されたが、最近の状況を反映して内容が更新された。説明の追加や更新などが実施されていることから、過去に閲覧している場合も再度内容を確認しておくことが望まれる。