脅威インテリジェンスフィードは、サイバーリスクや脅威に関連する情報を収集する、リアルタイムの継続的なデータストリームです。データは通常、異常なドメイン、マルウェアのシグネチャ、既知の脅威アクターに関連付けられたIPアドレスなど、サイバーセキュリティ上関心のある単一の領域に焦点を当てています。

脅威インテリジェンスフィードからのデータは、それ自体ではかなり限定的にしか役に立ちません。組織の広範な脅威インテリジェンス機能をサポートして有効にするために、データフィードが他のセキュリティツール、プラットフォーム、または機能と統合されたときに、その価値がもたらされます。

脅威インテリジェンスとは？

脅威インテリジェンスとは、脅威アクターの動機、標的、攻撃の振る舞いを理解するために収集、処理、分析されるデータのことです。脅威インテリジェンスにより、セキュリティチームは、より迅速でより多くの情報に基づく、データに裏付けられたセキュリティの意思決定を行い、脅威アクターとの戦いで後手に回ることなく事前に対応できるようになります。

脅威インテリジェンスフィードからのインサイトとデータは、次の目的で使用できます。

• 既知の悪意のあるソースをブロックする
• 脅威の検知をサポートする
• アラートに優先順位を付け、修復活動をガイドする
• 調査中にコンテキストを追加する

脅威フィードと脅威インテリジェンスフィード

脅威フィードと脅威インテリジェンスフィードはどちらも、サイバーリスクまたはサイバー脅威情報を収集するリアルタイムデータストリームです。ただし、両者ではコンテキストが大きく違います。

脅威フィードは単に膨大な量のデータを収集し、それをデータセットのレポートやライブビューを通じてセキュリティチームが利用できるようにするだけですが、脅威インテリジェンスフィードは侵害の痕跡（ファイル、システム、またはネットワークが侵害された可能性があることを示唆するデジタルフォレンジックの断片）を関連するコンテキストとともに提供します。これにより、チームは最も緊急性の高い問題とアラートに集中できます。

現代のITチームにとってコンテキストは非常に重要ですが、多くのチームは過労で人員が不足しており、多数のデータフィードを管理およびレビューするのに十分な時間がありません。データ集約や分析（AI、ML）などのテクノロジーを使用して、生のフィードデータを分析し、重複を排除し、検出結果に関するコンテキストを提供することで、データをより実用的に、つまりより有用にすることができます。

オープンソースのインテリジェンスフィードと有料のインテリジェンスフィード

脅威インテリジェンスフィードは、通常、次の2つの方法に分類されます。

1. 無料のオープンソースインテリジェンスフィード
2. 有料のサードパーティサービス

無料の脅威フィードは、通常、オープンソースデータに基づいており、オンラインコミュニティのメンバーによって管理されています。多くのオープンソースの脅威フィードは、マルウェアのURLやスパムのIPアドレスなど、特定の種類の脅威アクティビティに特化しています。最も人気のあるオープンソースの脅威インテリジェンスフィードには、次のようなものがあります。

• URLhaus：マルウェアのURLを収集、追跡、共有する
• Spamhaus Project：Eメールスパマーとスパム関連のアクティビティを追跡する
• FBI InfraGard：FBIと民間企業とのパートナーシップで、米国の重大インフラを保護する

有料の脅威フィードもオープンソースのデータを活用していることがあります。ただし、クローズドソースからデータを収集したり、複数のオープンソースフィードを1つのストリームに集約したり、独自の分析ベースのフィードを実行したりする傾向もあります。

組織で利用している脅威インテリジェンスフィードが無料か有料かにかかわらず、データが多いからといって必ずしもセキュリティが向上するわけではないことを覚えておくことが重要です。実際、より多くのデータ（つまり、複数のフィード）を所有すると、スタッフに圧倒的な量の情報が提供され、その結果として疲労が増したり、アラートを見逃したり、実際の脅威を認識しそこなったりして、組織のセキュリティポスチャが意図せず低下することがあります。

さらに、組織は、すべての脅威フィードが信頼できるまたはタイムリーであるとは限らないことを理解しておく必要があります。企業は、誰がデータを所有および収集しているかを考慮し、データセットの正確性、完全性、信頼性を評価する必要があります。また、脅威アクターが多くの脅威インテリジェンスフィード、特にオープンソースフィードにアクセスできることを考慮することも重要です。カウンターインテリジェンスの手段として意図的に不適切なデータを送信するアクターがいる一方で、フィードを監視してサイバーセキュリティチームの一歩先を行くアクターもいます。

最後に、有料と無料のどちらの脅威インテリジェンスフィードを使用しても、ITチームが重要なインサイトを認識して行動できるように、生成されたデータに関する適切なコンテキストを確保することが非常に重要です。

脅威インテリジェンスフィードの利点

脅威インテリジェンスフィードは、既知の悪意のあるソースに対する外部可視性をセキュリティ担当者に提供します。このデータは、イベントの検知と防御の取り組み、およびイベントの対応と修復を通知するために使用できます。

脅威インテリジェンスフィードを効果的に使用することで、組織は以下に示す多くの重要なメリットを得ることができます。

• 効率の向上とリソース割り当ての改善：データの収集、書式設定、分析、および配布を自動化することで、より価値の高い活動に集中できるようITスタッフを再配置できます。さらに、脅威インテリジェンスフィードは、収集されたデータに関する貴重なコンテキストを提供するため、ITチームは活動に優先順位を付け、限られたリソースを最も緊急性の高いニーズに集中させることができます。
• プロアクティブセキュリティの強化：必ずしも脅威データ自体でセキュリティポスチャが改善されるわけではありませんが、検知および制御のマッピングをインテリジェンスと組み合わせることで、組織はセキュリティイベントに備え、これを防御することができます。これは、特定の脅威に対処するための的を絞ったセキュリティ対策と、脅威インテリジェンスフィードのデータから明らかになるインサイトに基づいた全体的な防御の強化によって達成できます。
• 速度の向上：脅威インテリジェンスフィードにより、最新のデータとインサイトにリアルタイムでアクセスできます。これは、セキュリティ環境がいかに速く、頻繁に変化しているかを考えると、特に重要です。適切な脅威インテリジェンスへのアクセスと、堅牢なセキュリティインフラストラクチャおよびツールセットを組み合わせることで、企業は攻撃者の一歩先を行くことができます。

脅威インテリジェンスフィードによるデータ収集の仕組み

脅威インテリジェンスフィードは、他の多くのデータフィードと同様に機能します。このシステムは、事前に決定されたソースから特定の品質に一致するデータを自動的に受信、保存、重複排除、および準備するようにプログラムされています。多くの場合、セキュリティチームは脅威インテリジェンスプラットフォーム (TIP) データを使用してこのアクティビティを調整します。

一般的なプロセスは次のとおりです。

1. データ要件を定義する

これは計画ステップであり、組織は脅威インテリジェンスデータに関する目標と目的の概要をまとめます。要件は、データの使用方法と、組織が直面している特定の脅威および既知の攻撃者が使用する最も一般的な攻撃手法に応じて異なります。

2. データ収集を自動化する

ほとんどの脅威インテリジェンスシステムは、セキュリティベンダー、コミュニティ、国の脆弱性データベース、オープンソースフィードなど、外部ソースからの生データ収集から始めます。セキュリティソリューションベンダーであれば、自社のユーザーベース全体からのデータを集約し、その結果得られるインテリジェンスフィードを顧客の利益のためにソリューションに組み込んだり、フィードを別製品として利用できるようにしたりできます。ソースには他にも、業界固有のフィード、サイバーセキュリティ専門家の「トラストサークル」、ダークウェブフォーラムなどがあります。また、Webクローラーを使用して、インターネットでエクスプロイトや攻撃を検索することもできます。

3. データを変換し、分析に使えるように準備する

生データは、分析可能な形式に変換されます。その過程で、ファイルの復号、外国のコンテンツの翻訳、スプレッドシートを使用したデータポイント整理、データの信頼性と関連性の評価などが実施されます。

4. データを分析する

このステップでは、生データが実用的なインテリジェンスに変換され、要件フェーズでの決定に従ってアクションプランを策定する際に使用されます。最終的なインサイトは、それぞれの対象ユーザーに固有の各種レポートおよび評価としてパッケージ化されます。

• 戦略的インテリジェンスはシニアセキュリティプランナーを対象としています。セキュリティ投資やセキュリティポリシーを計画するうえで参考になるよう、幅広い傾向に焦点を当てています。
• 戦術的インテリジェンスは侵害の痕跡 (IOC) に焦点を当てています。潜在的な脅威をすみやかに特定および排除するために使用されます。戦術的な脅威インテリジェンスは、生成が最も簡単で、通常は自動化されています。
• オペレーショナルインテリジェンスは、悪意のあるアクターの戦術、動機、スキルレベルの理解を目標にしています。サイバー攻撃の「誰が、何を、どのように」を調べることで、次の攻撃や同様の攻撃の前に適切な防御態勢を確立することを目指しています。

5. データを配布する

分析結果は、特定の対象者向けにカスタマイズされた推奨事項に変換され、利害関係者に提示されます。このステップでは、技術用語を避け、簡潔に説明することが重要です。提示形式としては、1ページ程度のレポートや短いスライドが最適です。

6. フィードバックループを確立する

脅威の状況は絶えず変化していることから、継続的なフィードバックループを確立する必要があります。このステップでは、提供されたレポートの関連性について利害関係者にフィードバックを求め、実施されている技術対策の有効性を測定します。このフィードバックループを使用して、脅威インテリジェンスの外部情報源の選択を調整したり、新たに生成されたインサイトの優先順位付けをコンテキストに基づいて調整したりできます。

サイバー脅威インテリジェンスフィードを実用的にする方法

脅威インテリジェンスフィードを実用的なものにするには、セキュリティチームがレポート内のインサイトを迅速に確認し、優先順位を付け、それに基づいて行動できるように、適切なコンテキストを整える必要があります。また、組織全体にわたって調整された方法でデータが効果的に活用されるように、これらのフィードを他のセキュリティツールやプラットフォームと統合する必要もあります。

高度なセキュリティ機能を備えた組織は、インテリジェンスフィードからのデータによって生成されたアラートへの対応を自動化することができます。これにより、組織がさらに迅速に行動できるようになるだけでなく、ITスタッフはより価値の高い活動や複雑な問題に集中できるようになります。

脅威インテリジェンスフィードが、組織のセキュリティポスチャを維持する上で重要な役割を果たす一方で、企業はフィード内のデータを定期的に監視し、信頼性を確認する必要があります。脅威インテリジェンスフィードを本当の意味で実用的なものにするには、フィード内のすべてのデータのプロセス、ソース、コンテキストを把握しておくことが不可欠です。

データに基づくあらゆるシステムと同様に、脅威インテリジェンスには「入力データが悪ければ、出力データも悪くなる」という概念が適用されます。残念ながら、脅威インテリジェンスの場合、セキュリティ関連の意思決定に不完全、不正確、または信頼性の低いデータを利用すると、非常に壊滅的な結果になる可能性があります。

実装

前述のように、ほとんどの組織は脅威インテリジェンスプラットフォームまたはSIEM (セキュリティ情報およびイベント管理システム) を活用して、外部の脅威データの収集、集約、調整を自動化しています。また、SIEMツールは、セキュリティチームが最新の脅威インサイトを監視およびレビューするために使用できるデジタルプラットフォームも確立します。SIEMツールやTIPツールのメンテナンスは非常に高額になり、統合には時間がかかる可能性があります。

クラウドストライクによる脅威インテリジェンス

クラウドストライクは、セキュリティチームに実用的なインテリジェンスを提供しているマーケットリーダーです。CrowdStrike Security Cloudは、世界中の何百万というエンドポイントとクラウドワークロードから日々収集される兆単位の数のセキュリティイベントを相互に関連付けています。当社のお客様には、人工知能と人間の専門家による分析という組み合わせを使用して、何百万というリアルタイムIOCと何千何万ものインテリジェンスレポートが毎年配信されています。

受賞歴のある脅威インテリジェンスモジュールであるCrowdStrike Adversary Intelligenceは、コンテキスト情報を充実させたIOC、脅威レポート、マルウェアのサンドボックス化、アトリビューション、検索可能なマルウェアリポジトリを提供し、主要な脅威アクター、攻撃ベクトル、脅威インテリジェンスの傾向に関する実用的なインサイトを提供しています。また、クラウドストライクは、事前構築済みの統合と、ThreatQuotient、ThreatConnect、Anomaliなど、業界をリードするTIPベンダーとのAPI統合も提供しています。ユーザーは、APIまたはCSVエクスポートを使用して、プラットフォームから直接インジケーターをダウンロードしてフィルタリングすることもできます。

当社のお客様がクラウドストライクを活用してインテリジェンスに関する各社の目標をどのように達成しているか、ご興味をお持ちですか？当社のCrowdStrike Adversary IntelligenceやFalconプラットフォームのページで、当社がご用意しているすべてをご覧ください。