業界トレンド

脅威インテリジェンスはアクティブセキュリティの生命線

投稿者 Derek Manky | 2020年10月2日

効果的なセキュリティ戦略には、信頼性が高く実行可能な脅威インテリジェンスが不可欠です。セキュリティ・ツールは、ネットワーク内に配置された場所から脅威インテリジェンスを収集できるだけでなく、ネットワーク上のあらゆる場所に配置された他のすべてのセキュリティデバイス間で、そのインテリジェンスを共有し、関連付けることができなければなりません。生の脅威データを見て、共有し、関連付けることができる統合ソリューションは、セキュリティシステムが脅威を効果的に検出し、対応するために必要なネットワーク全体の広範な可視性を可能にします。

しかし、これは問題の半分しか解決していません。各地で収集された脅威インテリジェンスは、世界的な脅威や業界の攻撃傾向など、より広範な文脈の中で評価される必要があります。そのためには、複数のソースからの外部脅威インテリジェンスフィードを利用する必要があります。多くのセキュリティベンダが外部のセキュリティフィードを提供しているほか、業界や地域ごとに結成された ISAC など、組織に関連するグループが外部のセキュリティフィードを提供しています。脅威レポートや更新情報などの二次的な情報源も重要な情報源です。

さらに、サイバー犯罪者は、機械学習やAIを利用して、拡大する攻撃対象領域を利用したり、従来のセーフガードを迂回したりするなど、ますます巧妙になっています。エンドポイント、ネットワークやIoTデバイス、クラウド環境などから収集される膨大な量のアラートや大量のデータに直面している企業は、脅威の前に立ちふさがることはおろか、そのペースを維持するのにも苦労しています。脅威インテリジェンスを実行可能なものにするための「最後の1マイル」を実行するには、通常、人間との対話が必要になりますが、必ずしもそうである必要はありません。実際に、インテリジェンスがセキュリティ管理に迅速に適用されず、サイバー犯罪者がさらに速いペースで動いているときには、システムのリスクをさらに高めることになりかねません。

 

脅威インテリジェンスは強固な関係から始まる

セキュリティソリューションが、保護すべきネットワークや防御すべきサイバー犯罪者と同じように迅速かつ機敏なものであるためには、変化する脅威の状況に合わせて、タイムリーで実行可能なアップデートが必要です。つまり、最も迅速で適応性の高いセキュリティソリューションであっても、それをサポートする脅威インテリジェンスのインフラストラクチャと研究者がいなければ効果を発揮できないということです。

それは、脅威インテリジェンスやアップデートから、熟練したサイバーセキュリティの専門家による個別のサポートまで、セキュリティギャップの特定やサイバーインシデントからの回復を支援するものです。しかし、このような脅威インテリジェンスの最も重要な側面の1つは、新たな脅威の探索と排除のために直接使用できることです。IOC(Indicators of Compromise:侵害指標)、脅威とMITREカテゴリとの相関関係、および同様の情報は、セキュリティチームが脅威インテリジェンスを迅速かつ効果的に利用する能力を加速させるのに役立ちます。

 

脅威研究者は業界を超えた取り組みをサポートする必要がある

一般的に、共同作業にコミットした研究者グループによって開発された脅威インテリジェンスは、単発の脅威インテリジェンスよりも有用で信頼性の高いものです。そのため、脅威インテリジェンスの提供者は、業界内の他の研究者と良好な協力関係を築く必要があります。これらのグループには、ISAC(Information Sharing and Analysis Center)、CERT(Computer Emergency Response Team)、法執行機関、およびサイバーセキュリティに焦点を当てたその他の組織が含まれます。

 

脅威の研究者は、業界標準の開発とサポートも行う必要があります

しかし、そのような協同組合に所属しているだけでは十分ではありません。脅威の研究に取り組む組織は、業界標準の開発にも積極的に関与しなければなりません。たとえば FortiGuard Labs は、他の組織と協力して STIX/TAXII プロトコルと MISP プラットフォームの開発に多大な貢献をしましたが、これらは現在、顧客であるかどうかにかかわらず、組織が脅威情報と実行可能な脅威インテリジェンスを共有できるようにするために世界的に使用されています。さらに、FortiGuard Labsは、ゼロデイの脅威を特定して報告することを専門とするトップの脅威研究者チームも運営しています。

 

脅威インテリジェンスは、関係を構築することから始まります

サイバーディフェンスは、その情報を提供する脅威のインテリジェンスがあってこそ成り立つものです。そのプロセスは、顧客、パートナー、ベンダーとの良好な関係を構築し、維持することから始まります。しかし、サイバー犯罪の流れを変えるためには、法執行機関とオープンに連携することも重要な要素です。サイバー犯罪組織を効果的に排除するという望ましい目標のためには、法執行機関やその他のグローバルなセキュリティ組織と情報を奨励し、共有することが重要です。

この協力は、サイバー犯罪者の活動をより困難にし、より多くのリソースを必要とするものにし、サイバー犯罪のサイクルを終わらせるための最良の方法でもあります。サイバー犯罪に国境はありません。したがって、法執行機関と協力して、サイバー犯罪者が攻撃を実行するのをより困難にし、よりコストをかけるために努力すればするほど、私たちの利益は向上します。

 

FortiGuard Labsの脅威リサーチ、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオについて、詳細をご覧ください。FortiGuard Labs Weekly Threat Brief(英文)の購読は、こちらからお申込みいただけます。

フォーティネットの無償サイバーセキュリティトレーニングについて、またフォーティネットのネットワーク セキュリティ エキスパート プログラムネットワーク セキュリティ アカデミー、およびFortiVetプログラムについて、詳細をご覧ください。