東陽テクニカ セキュリティ&ラボカンパニー完全オリジナル
サイバーセキュリティ2020最前線
CYBER SECURITY FILES 2020

Chapter #01脅威インテリジェンスの基本を理解する

1
2
  • サイバー脅威に対するインテリジェンス

  • こうしたインテリジェンスの考え方をサイバー脅威に適用したものが、いわゆる「脅威インテリジェンス(CTI:Cyber Threat Intelligence)」だ。 インターネットなどから得られる多くの情報を分析し、企業や組織の運営に必要な意思決定を支援する情報を提供する。
    インターネットは、大きく 3 層に分かれる。一般に検索エンジンなどで検索できるサーフェスウェブ(クリアウェブ)、限られた一部の人だけがアクセスできるディープウ ェブ、そして特殊な技術がないとアクセスできないダークウェブである。ダークウェブでは、企業の機密情報やログイン情報、ハッキング技術などがやり取りされていると見られる。
    ダークウェブが分析できればすぐに問題解決、とはいかない。そもそもダークウェブに隠されていたデータは真贋の区別がつかない。インテリジェンスを作成する分析官は、データを「信頼性」とその事象が起きる「確からしさ」の 2 つの側面から見積もり、取り扱いの重み付けをする。さらに「サーフェスウェブ」や「ディープウェブ」のデータをも収集し、企業のブランド毀損への対応やフィ ッシング対策、情報漏洩の予見など、カスタマーのリクワイヤメントに対応した解析・分析を行って、脅威インテリジェンスという生産物を作り出す。
  • インターネットの構造|東陽テクニカ セキュリティ&ラボカンパニー【公式】
  • 以前はスプレッド攻撃と呼ばれる “ 下手な鉄砲数撃ちゃ当たる ”という攻撃手法が主流だった。不幸にして当たったら何とかすれば良い、という受け身のセキュリティ対策でも対応が可能だったとも言える。その上、不正侵入検知システムやファイアウォールの技術進歩、OS やサーバ ーアプリケーションのセキュリティ対策の高度化により、守られているシステムを悪意ある第三者が正面突破するのは、いくら高い技術があっても難しくなってきた。
    そこで、攻撃者は目的をもって、特定のターゲットに長期間にわたって綿密に仕組んだ攻撃を仕掛けるようにな っ た。APT(Advanced Persistent Threat、持続的標的型攻撃)と呼ぶもので、「特定の相手にねらいを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃」のことを指す(情報通信研究機構(NICT)のサイバー攻撃対策総合研究センター(CYREC)の定義)。攻撃者には目的があり、あなたを狙う動機がある。そこで、公開されたインターネットやダークウェブの情報を収集、分析し、何か異常が発生していないかを脅威インテリジェンスとして得ることで、サイバー脅威から企業や組織を守ることができるのである。
  • つながる世界で企業を守るには

  • 以前であれば、インターネットと企業のシステムの間に壁を作れば内部を一定のレベルで守ることができた。いわば中世の城郭都市のように壁を高くして境界を守ればよかった。ところが、交易が進み都市間の交易が盛んになるにつれ、人の出入りが多くなってきた。壁で守るのではなく、出入りする個々人を識別して守る必要が出てきた。サイバー脅威への対応も、壁を守るだけでなく行き来するデータそのものをきちんと見なければならない時代に入ってきたのだ。
    APT の脅威が叫ばれ、守る側の努力も続けられている。壁の高さ、すなわち境界の守りは高まっている。そうした中で、攻撃者はいわゆる「 *4 トロイの木馬」的な戦術を取らなければ、突破できなくなってきている。そのために、妙なものが添付されているメールなど、個のデータを識別して排除する必要性が戦術として高まっている。
    実際には、世の中の脅威情報の 8 割はオープンソース、すなわち公開情報から得られるという見方もある。オープンソースの情報だけでも丁寧に見ていけば、かなりのインテリジェンスが生産できる。さらに、公開されていないダークウェブなどの情報も組み合わせて解析・分析することで、より確度の高い脅威インテリジェンスを得ることができる。
  • 脚注:用語解説および引用索引
    *1 IDS/IPS:それぞれ、Intrusion Detection System (不正侵 入検知システム)、Intrusion Protection System (不正侵入防止システム)の略。IDS は、外部からのネットワークやホストへの不正アクセスを検知、アラートを生成するセキュリティ システム。IPS ではさらに、検知された有害トラフィックや、送信元 IP アドレスやポート番号等の特徴を抽出してフィルタリングするなど、防御までを実施する。アンチ ウィルス ソフトウェアの様に有害通信固有の特徴を検出する方式、平時のネットワークやホストの状態を基準として異常状態を検出する方式などがある。
    *2 マルウエア:所有者に認識されずにコンピューターにインストールされ、その所有者に認識されない、望まれない動作をするソフトウェアの総称。インストール時には、コンピューターのもつ脆弱性が利用されたり、ユーザーにメールの添付ファイルを実行させるなどの詐欺的手法(ソーシャル エンジニアリング)が利用される。コンピューター ウィルスやランサムウェアなどが含まれる。
    *3『知られざるインテリジェンスの世界』吉田一彦(PHP 研究所、2008 年)より引用
    *4 トロイの木馬 :マルウェアの一種。通常は活動せず潜伏しているが、第3者からの命令やスケジュールによって活動を開始し、インストール先のコンピューターの操作や情報窃取などが実行される。ギリシャ神話のトロイの木馬を連想させる動作から命名。
PDF

サイバーセキュリティ2020最前線《Chapter #01》脅威インテリジェンスの基本を理解する

ダウンロードはこちらから

1
2

本ウェブサイトではサイト利用の利便性向上のために「クッキー」と呼ばれる技術を使用しています。サイトの閲覧を続行されるには、クッキーの使用に同意いただきますようお願いいたします。詳しくはプライバシーポリシーをご覧ください。