脅威情報からいかに知見を得るか--スレットインテリジェンスの実例

　前回はレジエントセキュリティにおいて重要な要素となるスレットインテリジェンスについて取り上げた。スレットインテリジェンスを「脅威に対する意思決定を支援する、適切に分析・評価された情報」と定義した上で、その役割や重要性について解説している。

　第3回目となる今回は、さまざまな脅威情報をいかに収集・分析し、スレットインテリジェンスとして蓄積するのか、その流れについて解説する。また、スレットリサーチラボが実施しているスレットインテリジェンスを収集するための取り組みと、スレットインテリジェンスを利用した適用事例を紹介する。

スレットインテリジェンスの蓄積

　スレットインテリジェンスは、さまざまな脅威に関する情報を収集・分析することにより蓄積できる。脅威情報の基となる情報もさまざまなものが存在し、目的によって収集手法や分析手法も異なってくる。脅威情報を収集し、スレットインテリジェンスを作成するための一連の流れを簡潔にまとめると以下のように表現できる。

スレットインテリジェンスとして活用までのフロー

・収集情報の検討

　スレットインテリジェンスは、セキュリティや脅威に関するさまざまな情報を適切に分析したものである。そのため、まずはどのような目的のために、どのような情報を収集する必要があるのか検討する。

・手法の検討・準備

　目的に即した「スレットインテリジェンスに必要な情報」を収集するために、どのような収集手法が有効であるか検討し、環境や体制を整える。一言で情報と言っても、何らかのセンサのような機械的なモノから得られる情報もあれば、人やそのコミュニティから得られる情報もあり、収集手法も千差万別である。

　目的にもよるが、一般的にスレットインテリジェンスはセキュリティインシデントや脅威自体の情報、それらの兆候をつかむことができるような情報であるため、これらの情報を収集できる手法の検討や準備を行う。

・情報の収集

　準備した環境や体制から情報を収集し、蓄積する。収集内容によってはさまざまな情報形式となっていることが想定されるため、後ほど収集した情報を分析する際に可能な限り分析しやすい形式で蓄積することが望ましい。

・情報の分析

　収集した情報を分析する。ここでも分析手法により導出される内容が異なる場合があるため、目的に即した分析手法を選択し適用することが求められる。収集した情報を分析し整形することで、ようやくスレットインテリジェンスとして利用することが可能になる。