脅威インテリジェンスフィードは、セキュリティチームが脅威を特定するのに役立つ外部データのストリームです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
脅威インテリジェンスフィードとは、外部ソースからの潜在的な攻撃(「脅威インテリジェンス」として知られている)に関するデータストリームのことです。組織は、脅威インテリジェンスフィードを使用して、セキュリティ防御を常に更新し、最新の攻撃に備えることができます。
ジャーナリズムのWebサイトのニュースフィードやソーシャルメディアのフィードには、新しいコンテンツ、新しいニュース、進行中のストーリーの変更など、継続的な更新が表示されます。同様に、脅威インテリジェンスフィードは、継続的に更新される脅威データの情報源で、侵害指標(IoC)、疑わしいドメイン、既知のマルウェアのシグネチャ、などがあります。
脅威インテリジェンスフィードは、軍事偵察に例えることもできます。軍隊は、敵軍の動向に関する情報をもとに、防衛策を確立するための判断を下すことがあります。同様に、脅威インテリジェンスフィードは、セキュリティチームがより適切に現在および将来のサイバー攻撃に備えるのに役立ちます。
脅威インテリジェンスフィードの中には、機械で読み取ることが可能なものもあり、これらのフィードは、セキュリティ情報とイベント管理(SIEM)システムやその他のセキュリティツールで直接使用することが可能です。また、セキュリティチームが行動を起こし、意思決定できるようにするための、人間が使用することを目的としたものもあります。
多くの脅威インテリジェンスフィードは、広く脅威の防止を促進するために、無料のオープンソースで提供されています。脅威インテリジェンスフィードの中には、費用を支払って利用する独自のものもあります。
「脅威」とは、データの盗難、喪失、移動、改ざんなどを許可なく行う行為であると定義することができます。この言葉は、潜在的な行動と実際の行動の両方を指す言葉です。
仮に、チャックがアリスの電子メールのパスワードを盗んで彼女の受信トレイを乗っ取ったが、ボブにはまだ同じことをしていない場合、チャックはボブに対して依然として脅威となります。アリスはチャックがしたことをボブに知らせ、ボブがチャックから身を守るための行動をとれるようにしたいと考えます。アリスはボブに「チャックに気をつけて!」というシンプルな形の脅威インテリジェンスを提供します。
しかし、セキュリティツールやチームにとって有用であるためには、脅威インテリジェンスは、単に「チャックに気をつけて」よりも詳細なものにする必要があります。潜在的な外部脅威に関するインテリジェンスは、いくつかの形態があります。
脅威インテリジェンスフィードの情報は、以下のような様々な情報源から得ることができます:
脅威インテリジェンスフィードのベンダーは、これらの情報を編集してフィードに追加し、配信します。
最新情報:サイバー犯罪者は、攻撃を成功させたいと考えています。そのため、彼らは防御をすり抜けるために、戦術の変更・拡張を絶えず行っています。昨年の攻撃をブロックするように設定されている組織は、今年の攻撃戦術によって危険にさらされるでしょう。そのため、セキュリティチームは、最新の攻撃を防御して阻止するための、最新のデータを求めています。
より幅広い情報を提供:脅威インテリジェンスフィードは、幅広いデータを提供します。例に戻ると、ボブは過去のチャックによるメール受信トレイの乗っ取りを阻止できたかもしれませんが、もしアリスから最新の攻撃の情報を受け取った場合、過去の攻撃と今回アリスに向けられた攻撃の両方をブロックする方法を知ることができます。これと同じように、脅威インテリジェンスを受け取ることで、組織はより幅広い種類の脅威を軽減することができます。
効率性の向上:脅威インテリジェンスを外部ソースから受け取ることで、セキュリティチームはデータの収集ではなく攻撃の阻止に時間を割くことができるようになります。セキュリティ担当者は、意思決定に必要な情報を収集することではなく、意思決定を行い、緩和策を展開することに力を注ぐことができます。また、WAFのようなセキュリティツールは、実際に攻撃が実施される前に攻撃を認識するように学習することができます。
STIXとTAXIIは、脅威インテリジェンスを共有するために一緒に使用される2つの規格です。STIXは脅威情報をフォーマットするための構文であり、TAXIIはこのデータを配布するための標準化された プロトコル(HTTPのようなもの)です。多くの脅威インテリジェンスフィードはSTIX/TAXIIを使用してデータを広く解釈し、さまざまなセキュリティツールで活用できるようにしています。
Cloudflareは、世界のWebサイトの大部分(毎秒 60万件のHTTPリクエストを処理)を保護しているため、ネットワークトラフィックや攻撃パターンに関する膨大なデータを分析することができます。このデータは、(STIX/TAXIIを介して)セキュリティツールに取り込める実用的な脅威インテリジェンスに変換されます。
Cloudflareは、この脅威インテリジェンスフィードをCloudforce Oneサービスを通じて提供しています。経験豊富な研究チームに率いられたCloudforce Oneは、世界中のサイバー攻撃者の行く手を阻みます。Cloudforce Oneの詳細はこちらをご覧ください。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集
ラーニングセンターナビゲーション