脅威インテリジェンスとは

脅威インテリジェンス（サイバー脅威インテリジェンス、CTI）は、組織や個人のデジタルセキュリティに対する現在および新たな脅威に関する情報を収集、分析、拡散する取り組みです。脅威インテリジェンスは、さまざまなタイプのランサムウェア、マルウェア、フィッシング攻撃、高度な持続型脅威（APT）、サービス妨害攻撃、ソフトウェアの悪用と脆弱性、インサイダーの脅威、ゼロデイ攻撃、サプライチェーン攻撃、ボットネットなどの脅威を含む、サイバーセキュリティの脅威の状況全体に関する知見を提供します。

脅威インテリジェンスは、アタックサーフェスを縮小し、多層的なサイバーセキュリティ防御を展開するための取り組みの重要な部分です。組織が脅威のリスクを把握し、セキュリティチームがサイバー攻撃を事前に予測、特定、緩和するのに役立ちます。

脅威インテリジェンスは、さまざまなソースから収集された情報に基づいています。

• オープン・ソース・インテリジェンス（OSINT）は、新たな脅威を特定するために使用できる、公開されているデータです。
• ダークWebフォーラムやサイトは、脅威アクターがサイバー攻撃用のデータ、コード、ツールを売買し、今後の攻撃について話し合う場です。これらのサイトを監視することで、組織は次に直面する可能性のある脅威を特定できます。
• また、サーフェスWeb上のソーシャルメディアサイトは、脅威アクターの活動を監視するための有益な情報源でもあります。
• 脅威痕跡情報（IOC）は、トラフィックとアクティビティを監視する際に何を探すべきかをセキュリティソリューションに通知する、悪性URL、IPアドレス、マルウェアシグネチャーなどです。
• インシデントレポートとログは、過去の攻撃、潜在的な脆弱性、潜在的な疑わしいアクティビティに関する知見を提供します。

脅威インテリジェンスのための生データ収集が完了すると、サイバーセキュリティの専門家が機械学習と自動化を活用して情報を分析し、関連性と実用性の両方を確認します。このプロセスは、実際の脅威を特定し、セキュリティチームの注意をそらし、アラート疲れにつながる可能性のあるフォールス・ポジティブ（誤検知）を破棄するために重要です。脅威のコンテキストと情報の信頼性や信頼性を分析した後、脅威インテリジェンスを組織やセキュリティチームに広め、意思決定やサイバーセキュリティ戦略に役立てることができます。

サイバー攻撃は、組織の業務を麻痺させ、評判を傷つけ、生産性を低下させ、重要な知的財産を漏えいさせ、ビジネス機会を失うだけでなく数百万ドルの損失につながる可能性があります。脅威インテリジェンスは、サイバー脅威を回避する上で重要な役割を果たします。

• 事前対応型のセキュリティ体制：脅威インテリジェンスは、組織が強力な脅威管理プログラムと事前対応型のセキュリティ体制を維持するのに役立ちます。脅威インテリジェンスは、チームがDNSセキュリティを強化し、ランサムウェア防御を強化し、脆弱性の悪用に備え、APIエンドポイントのセキュリティを確保するのに役立ちます。サイバー脅威の進化に伴い、セキュリティチームとその組織は、攻撃が発生した後に単に対応するのではなく、新たな攻撃ベクトルの一歩先を行くことができます。
• 状況認識の向上：脅威インテリジェンスツールは、セキュリティチームが現在のサイバー脅威の状況と、脅威アクターが使用する戦術・手口・手順（TTP）をより深く理解できるようにします。
• インシデント対応の強化：すべての攻撃を回避することは不可能であるため、組織は脅威を迅速に特定し、修復を迅速に行い、被害を最小限に抑え、データとシステムをできる限り迅速にオンラインに戻すための優れたインシデント対応計画を策定しなければなりません。
• リスク管理の改善：脅威インテリジェンスは、組織のリーダーがリスク管理に関するよりスマートな戦略を策定するのに役立ちます。
• 規制コンプライアンスの改善：脅威インテリジェンスプログラムは、組織が一定のセキュリティ保護と準備レベルを義務付けた規制フレームワークを確実に遵守するために役立ちます。
• よりスマートなセキュリティプログラム：脅威インテリジェンスサービスにより、組織はIT環境に影響を与える可能性が最も高い脅威に合わせてセキュリティ対策を調整できます。優れたインテリジェンスは、セキュリティ制御の優先順位付けを支援し、インシデント対応計画をガイドし、脅威ハンティング活動を標的にします。
• 情報に基づいた投資：経営陣、取締役会、CISO、CIOなどの利害関係者や意思決定者は、脅威インテリジェンスを活用してセキュリティソリューションへの投資をする際の指針として活用できます。

脅威インテリジェンスの普及は、さまざまなチャネルで行われます。

• 脅威インテリジェンスプラットフォームは、インテリジェンスを集約して、利害関係者やSecurity Operations Center（SOC）にリアルタイムで分散します。脅威インテリジェンスプラットフォームは、インテリジェンスのライフサイクルを管理し、組織にとって重要な脅威、脆弱性、IOCを統合的に把握できます。通常、脅威インテリジェンスプラットフォームは、セキュリティチームが最も関連性の高いデータを取得できるように、インテリジェンスのフィルタリングと優先順位付けを行うためのツールを提供します。SIEM（セキュリティ情報およびイベント管理）、EDR（エンドポイント検知応答）、ファイアウォールなどの他のセキュリティシステムと統合することで、組織内の全員がタイムリーで包括的な脅威情報にアクセスできるようになります。
• サイバーセキュリティの専門家が発行するE メールアラートと速報では、重大な脆弱性や進行中の攻撃に関する最新のインテリジェンスに関する有益な知見を提供します。
• 自動化された脅威インテリジェンスフィードは、セキュリティツールやシステムに直接入力できます。脅威データフィードにより、検知方法や新たな脅威への対応をリアルタイムで更新できます。
• Webポータルとダッシュボードには、リアルタイムの脅威インテリジェンスを表示するためのインターフェースが用意されています。ダッシュボードは通常カスタマイズ可能であるため、セキュリティチームは組織のニーズに最も合ったタイプのインテリジェンスに集中できます。
• セキュリティアナリストが作成したレポートやホワイトペーパーは、セキュリティチームが複雑な脅威を理解し、長期的な戦略を策定するのに役立つ詳細なインテリジェンスを提供します。

脅威インテリジェンスは、主に4つのカテゴリーに分類されます。

• 戦術的脅威インテリジェンスは、脅威の即時の技術的な指標に重点を置いています。マルウェアシグネチャーや悪性IPアドレスなどの指標は、セキュリティチームがファイアウォール、エンドポイント保護、その他のセキュリティソリューションを設定するのに役立ちます。
• 運用脅威インテリジェンスは、サイバー攻撃や悪性のキャンペーンの詳細、脅威アクターのTTPを明らかにすることで、インシデント対応計画に情報を提供します。
• 戦略的脅威インテリジェンスは、サイバー脅威の状況を高度に理解し、長期的な意思決定とリスク管理に役立つ貴重な知見を提供します。
• 技術的脅威インテリジェンスは、進行中の攻撃に関する具体的な証拠を提供します。これには、メールコンテンツやフィッシングキャンペーン、コマンドおよび制御サーバーのIPアドレス、IT環境内のメディアで見つかった既知のマルウェアからのコードなどが含まれます。

Akamai Security Intelligence Group は、幅広いセキュリティ分野にわたって豊富な専門知識を持つ、世界トップクラスのリサーチャー、エンジニア、ストラテジスト、データサイエンティストからなるグローバルチームです。巨大な規模を誇る Akamai Connected Cloud、オープンソース、サードパーティーとのコラボレーション、ダーク Web に関するインテリジェンスなど、さまざまなソースからデータを収集しています。また、独自開発のアルゴリズムとツールを使用して、研究調査を行い、最新のセキュリティソリューションを提供しています。