脅威の情報とは?

脅威インテリジェンスとは、潜在的な攻撃に関する情報です。脅威インテリジェンスは、組織がこれらの攻撃から身を守るために行動を起こすのに役立ちます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「脅威のインテリジェンス」の定義
  • サイバー脅威インテリジェンスの主な種類を列挙する
  • 脅威インテリジェンスフィードについて学ぶ

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

サイバーセキュリティにおける脅威インテリジェンスとは?

脅威インテリジェンスは、組織が直面する可能性のある攻撃と、その攻撃を検知して阻止する方法に関する情報です。警察機関は、容疑者に関する情報を記載した「指名手配」ポスターを配布することがあります。同様に、サイバー脅威インテリジェンスは、現在の脅威がどのようなもので、どこからやってくるかについての情報を含んでいます。

デジタルセキュリティ分野の用語で「脅威」とは、データが 盗難、損失、または無断で変更される可能性がある悪意のある行為を指します。この用語は、潜在的な攻撃と実際の攻撃の両方を指します。脅威インテリジェンスによって、組織は単にデータを提供するだけでなく、脅威に対して行動を起こすことができるようになります。脅威インテリジェンスの一つひとつが、攻撃の検知と防止に役立ちます。

脅威インテリジェンスの中には、ファイアウォールWebアプリケーションファイアウォール(WAF)、セキュリティ情報およびイベント管理(SIEM)システム、その他のセキュリティ製品に当てはめることで、より効果的に脅威を特定しブロックできるようになるものがあります。その他の種類の脅威インテリジェンスはより一般的なものであり、組織がより大きな戦略的決定を下すのに役立ちます。

脅威インテリジェンスの主な3つのタイプとは?

ほとんどの脅威インテリジェンスは、これら3つのカテゴリのいずれかに当てはまります。

  1. 戦略的インテリジェンスは、全体的な傾向や長期的な問題を説明するものです。また、既知の攻撃者の動機、目標、手法を含むこともあります。
  2. 運用インテリジェンス は、攻撃者が使用する戦術、技術、手順(TTP)を説明するものです。例えば、攻撃者が使用するマルウェアツールキットやエクスプロイトキット、攻撃の発信地、攻撃を実行するために通常実行する手順などが挙げられます。
  3. 戦術的インテリジェンスは、脅威に関する現場での具体的な詳細で、組織が状況に合わせた脅威の特定を可能にするものです。マルウェアのシグネチャやセキュリティ侵害インジケーター(IoC)は、戦術的インテリジェンスの一例です。これらの用語は、以下でさらに説明します。

マルウェアシグネチャとは?

シグネチャとは、マルウェアを識別するための一意のパターンまたはバイト列のことです。犯罪の疑いがある人物を特定するのに指紋が使用されるのと同じように、シグネチャは悪意のあるソフトウェアを特定するのに役立ちます。

シグネチャ検出は、最も一般的なマルウェア解析の形式の1つです。シグネチャ検出を効果的に行うには、実運用で確認された最新のマルウェアのシグネチャを常に更新する必要があります。

セキュリティ侵害インジケーター(IoC)とは?

セキュリティ侵害インジケーター(IoC)とは、攻撃が行われたか、または進行中であるかを識別するのに役立つデータの一部です。IoCは、刑事が犯行現場にいた人物を特定するために収集する物的証拠のようなものです。同様に、ログに記録された異常な活動、サーバへの不正なネットワークトラフィックなど、特定のデジタル証拠は、管理者が攻撃がいつ発生したか(または現在発生しているか)、どのような攻撃であったかを判断するのに役立ちます。

IoCがない場合、攻撃が行われたかどうかを判断するのが難しい場合があります。ほとんどの場合攻撃者は検知されない方が有利です(たとえば、侵害したデバイスをボットネットに使用したい場合など)。

脅威インテリジェンスフィードとは?

脅威インテリジェンスフィードとは、脅威インテリジェンスデータの外部ストリームです。ブログのRSSフィードのように、組織は脅威インテリジェンスフィードを購読することで、システム担当者は常にセキュリティの最新情報を得ることができます。

脅威インテリジェンスフィードには無料のものもあれば、有料で、オープンソースからは得られない独自のインテリジェンスを提供するものもります。

Cloudflareの脅威インテリジェンス収集のアプローチにはどのような特徴があるか。

Cloudflareは、その巨大な規模で脅威に関する情報を収集することができる独自の立場にあります。数百万ものWebサイトがCloudflareのネットワークによって保護されています。これらのWebサイトのトラフィックを分析することで、Cloudflareは、ボット、脆弱性の悪用、その他の攻撃などの悪意のあるトラフィックパターンを特定することができます。

Cloudflareはこれらの情報を、お客様のより強固な保護を実現するために利用します。例えば、CloudflareはWAFのルールを作成し、新しい脅威が検出されるたびに、WAFをご利用中のすべてのお客様に対して展開します。Cloudflare Bot Managementは、Cloudflareが毎日確認する数十億ものリクエストから脅威インテリジェンスを使用して、悪意のあるボットを識別する方法を学習しています。

サイバー脅威の詳細については、「Webアプリケーションセキュリティとは?をご覧ください。