脅威インテリジェンスフィードとは?

脅威インテリジェンスフィードは、セキュリティチームが脅威を特定するのに役立つ外部データのストリームです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 脅威インテリジェンスフィードに含まれる情報の種類を説明する
  • 脅威インテリジェンスフィードを使用する利点について説明する
  • 脅威インテリジェンスの情報源を知る

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

脅威インテリジェンスフィードとは?

脅威インテリジェンスフィードとは、外部ソースからの潜在的な攻撃(「脅威インテリジェンス」として知られている)に関するデータストリームのことです。組織は、脅威インテリジェンスフィードを使用して、セキュリティ防御を常に更新し、最新の攻撃に備えることができます。

ジャーナリズムのWebサイトのニュースフィードやソーシャルメディアのフィードには、新しいコンテンツ、新しいニュース、進行中のストーリーの変更など、継続的な更新が表示されます。同様に、脅威インテリジェンスフィードは、継続的に更新される脅威データの情報源で、侵害指標(IoC)、疑わしいドメイン、既知のマルウェアのシグネチャ、などがあります。

脅威インテリジェンスフィードは、軍事偵察に例えることもできます。軍隊は、敵軍の動向に関する情報をもとに、防衛策を確立するための判断を下すことがあります。同様に、脅威インテリジェンスフィードは、セキュリティチームがより適切に現在および将来のサイバー攻撃に備えるのに役立ちます。

脅威インテリジェンスフィードの中には、機械で読み取ることが可能なものもあり、これらのフィードは、セキュリティ情報とイベント管理(SIEM)システムやその他のセキュリティツールで直接使用することが可能です。また、セキュリティチームが行動を起こし、意思決定できるようにするための、人間が使用することを目的としたものもあります。

多くの脅威インテリジェンスフィードは、広く脅威の防止を促進するために、無料のオープンソースで提供されています。脅威インテリジェンスフィードの中には、費用を支払って利用する独自のものもあります。

サイバー脅威とは何か?

「脅威」とは、データの盗難、喪失、移動、改ざんなどを許可なく行う行為であると定義することができます。この言葉は、潜在的な行動と実際の行動の両方を指す言葉です。

仮に、チャックがアリスの電子メールのパスワードを盗んで彼女の受信トレイを乗っ取ったが、ボブにはまだ同じことをしていない場合、チャックはボブに対して依然として脅威となります。アリスはチャックがしたことをボブに知らせ、ボブがチャックから身を守るための行動をとれるようにしたいと考えます。アリスはボブに「チャックに気をつけて!」というシンプルな形の脅威インテリジェンスを提供します。

しかし、セキュリティツールやチームにとって有用であるためには、脅威インテリジェンスは、単に「チャックに気をつけて」よりも詳細なものにする必要があります。潜在的な外部脅威に関するインテリジェンスは、いくつかの形態があります。

  • 戦術(Tactics)・技術(Techniques)・手順(Procedures)(TTP):TTPは、攻撃者の振る舞いの総称です。
  • マルウェアのシグネチャ:シグネチャとは、ファイルを識別するためのユニークなパターンまたはバイト列のことです。セキュリティツールは、既知のマルウェアと一致するシグネチャを持つファイルを探すことができます。
  • セキュリティ侵害インジケーター(IoC):攻撃が行われたか、または進行中であるかどうかを識別するのに役立つデータです。
  • 疑わしいIPアドレスとドメイン:ネットワーク上のすべてのトラフィックには、必ず発信元があります。特定のドメインまたはIPアドレスからの攻撃が観測された場合、ファイアウォールを使用することでこの発信元からのトラフィックをブロックし、将来起こりうる攻撃を防ぐことができます。

フィードに含まれる脅威インテリジェンスの情報源は?

脅威インテリジェンスフィードの情報は、以下のような様々な情報源から得ることができます:

  • 攻撃やデータ流出に関するインターネットトラフィックの解析
  • セキュリティ専門家による徹底的な調査
  • ヒューリスティック分析、サンドボックス、またはその他のマルウェア検出を使用した、直接的なマルウェア解析
  • セキュリティコミュニティ内で共有されている、広く利用可能なオープンソースデータ
  • 攻撃や攻撃基盤を特定するWebクローリングCloudflare Cloud Email Securityなどは、この手法の一形態でフィッシング攻撃を事前に特定しています)
  • セキュリティ会社のお客様からの解析データとテレメトリーデータを集約したもの

脅威インテリジェンスフィードのベンダーは、これらの情報を編集してフィードに追加し、配信します。

脅威インテリジェンスフィードを使用する理由は?

最新情報:サイバー犯罪者は、攻撃を成功させたいと考えています。そのため、彼らは防御をすり抜けるために、戦術の変更・拡張を絶えず行っています。昨年の攻撃をブロックするように設定されている組織は、今年の攻撃戦術によって危険にさらされるでしょう。そのため、セキュリティチームは、最新の攻撃を防御して阻止するための、最新のデータを求めています。

より幅広い情報を提供:脅威インテリジェンスフィードは、幅広いデータを提供します。例に戻ると、ボブは過去のチャックによるメール受信トレイの乗っ取りを阻止できたかもしれませんが、もしアリスから最新の攻撃の情報を受け取った場合、過去の攻撃と今回アリスに向けられた攻撃の両方をブロックする方法を知ることができます。これと同じように、脅威インテリジェンスを受け取ることで、組織はより幅広い種類の脅威を軽減することができます。

効率性の向上:脅威インテリジェンスを外部ソースから受け取ることで、セキュリティチームはデータの収集ではなく攻撃の阻止に時間を割くことができるようになります。セキュリティ担当者は、意思決定に必要な情報を収集することではなく、意思決定を行い、緩和策を展開することに力を注ぐことができます。また、WAFのようなセキュリティツールは、実際に攻撃が実施される前に攻撃を認識するように学習することができます。

脅威インテリジェンスフィードはSTIX/TAXIIをどのように活用しているのか?

STIXとTAXIIは、脅威インテリジェンスを共有するために一緒に使用される2つの規格です。STIXは脅威情報をフォーマットするための構文であり、TAXIIはこのデータを配布するための標準化された プロトコルHTTPのようなもの)です。多くの脅威インテリジェンスフィードはSTIX/TAXIIを使用してデータを広く解釈し、さまざまなセキュリティツールで活用できるようにしています。

Cloudflareが脅威インテリジェンスフィードを配布する方法は?

Cloudflareは、世界のWebサイトの大部分(毎秒 55万件のHTTPリクエストを処理)を保護しているため、ネットワークトラフィックや攻撃パターンに関する膨大なデータを分析することができます。このデータは、(STIX/TAXIIを介して)セキュリティツールに取り込める実用的な脅威インテリジェンスに変換されます。

Cloudflareは、この脅威インテリジェンスフィードをCloudforce Oneサービスを通じて提供しています。経験豊富な研究チームに率いられたCloudforce Oneは、世界中のサイバー攻撃者の行く手を阻みます。Cloudforce Oneの詳細はこちらをご覧ください。