脅威インテリジェンスとは?攻撃を早期検知・防止するツール

簡易SIEMソフト

ManageEngine > 簡易SIEMソフト Log360 > 機能 > 脅威インテリジェンスとは?攻撃を早期検知・防止するツール

脅威インテリジェンスとは?

脅威インテリジェンスとは、サイバー攻撃者の動向や手口などを集約したサイバーセキュリティに関する情報の集合体です。マルウェアの通信に使われたIPアドレスや、不正アクセスに関与したドメイン名などの情報が含まれます。

この情報を活用することで、「どのような攻撃が、どのような目的で、どこで発生しうるか」をより正確に把握し、今後のサイバー脅威を予測・検知できます。脅威インテリジェンスは、単なる過去データの集積に留まらず、最新の脅威情報も取り込むため、日々巧妙化する攻撃に予防的に備えるための重要な判断材料です。

リスクを可視化するLog360の脅威検知・分析機能

Log360は、脅威検知機能が標準機能として、高度な脅威分析をオプション機能として用意しています。これらの機能により、外部からの攻撃試行や社内からの不審なサイトへのアクセスを防ぎ、データ侵害を未然に回避できます。Log360は、オープンソースおよび有償の脅威フィードを統合的に解析し、誤検知の削減や異常検知の迅速化、セキュリティ脅威のトリアージ*を支援します。

Log360は、以下のような機能により、脅威を早期に特定し被害の未然に防ぎます。

  • 従業員がブラックリストに登録された危険なURLやドメインにアクセスしようとした場合に、即座に検知・ブロックし、マルウェア感染を防ぐ
  • 外部の不審なIPアドレスが重要なシステムに侵入を試みた場合にリアルタイムで検知・遮断し、情報漏えいを防ぐ
  • 攻撃元のジオロケーション(物理的な位置情報)や攻撃手法などの詳細なコンテキストを把握し、脅威の深刻度や対応の優先度を正確に判断できる

*トリアージとは、サイバーセキュリティの分野において、脅威やインシデントの重要度や緊急度を評価し、対応要否や優先順位を見極める重要なステップです。

Log360の脅威インテリジェンスで得られる効果

脅威を早期に検知

多くの攻撃者は、外部から接続可能なシステムや既知の脆弱性を侵入口として悪用します。Log360は、こうしたサイバー脅威を未然に検知・防止するソリューションです。Log360は、ブラックリストに登録されているIPアドレスから通信があった場合、事前定義されたアラートを起動し、その不正アクセスを検知・防止します。さらに、その場限りの阻止に留まらず、自動的にワークフローを起動し、不審なIPアドレスをファイアウォールのブロックリストに登録します。この対策により、脅威インテリジェンスで危険と見なされているIPアドレスを、恒久的にブロックできます。

threat-intelligence-1

データ流出を防止

Log360は、攻撃者が不正取得した認証情報などを用いてネットワークに侵入し、機密データを盗み出そうとした際の、外部への通信を即座に検知・阻止します。Log360の脅威インテリジェンス機能は、すべてのアウトバウンド通信(内部から外部への通信)をリアルタイムに監視します。そして、不審な通信先(IP、ドメイン、URL)への接続試行を即座に通知および遮断します。

threat-intelligence-2

アラートの優先度を設定

情報システム部門やセキュリティチームが直面する課題の一つとして、「膨大に発生するセキュリティアラートの中から、特に深刻なものをどう見極めるか」が挙げられます。この課題は、Log360の高度な脅威分析機能で解決可能です。Log360は、攻撃の種類(マルウェアやフィッシングなど)を特定し、その情報をもとに脅威の深刻度を分析します。これにより、どの脅威に優先的に対応すべきかを効率的に判断できます。

threat-intelligence-3

誤検知を削減

Log360を活用すれば、サイバーセキュリティ脅威への対応力を強化できます。Log360は、外部からの不審なアクセス試行を検知した際、送信元IPアドレスのリスクスコアやジオロケーションといったコンテキストを取得します。これにより、ネットワークアクティビティの全体像を把握し、疑わしい通信を正当な通信を正確に区別できます。その結果、リアルタイムでの脅威の評価や、迅速な対応が可能になります。

threat-intelligence-4

Log360がサポートしている脅威フィード

現在、危険なIPアドレスとしてブラックリストに登録されているものは、数億件存在すると言われており、さらに日々増え続けています。この膨大な脅威情報を単独で収集・更新することは、現実的ではありません。Log360は、外部パートナーが提供する脅威フィードを取り込んでいるため、最新かつ広範な脅威情報をリアルタイムで把握できます。

Log360は、AlienVault OTX(オープンソースの脅威フィード)との連携をサポートしています。また、STIX/TAXIIプロトコルや、YARAルール(マルウェア検出用のルールやパターン)にも対応しています。

また、Log360は、法人向けサービスであるBrightCloud®と連携しています。Webrootが提供するBrightCloud®は、既知の危険なURL・IPアドレス・ファイルなどに関するフィードをリアルタイムで提供する脅威インテリジェンスサービスです。Log360の高度な脅威分析モジュールは、このフィードを動的に取り込むことで、ネットワークにおける脅威の兆候を可視化します。これにより、どの脅威に先に対応すべきかを効率的に判断できます。

脅威インテリジェンスの基本が分かる無料eBookをダウンロードする

よくあるご質問(FAQ)

1. 脅威インテリジェンスとは何ですか?

脅威インテリジェンスは、攻撃の兆候をいち早く把握するための情報源です。サイバー攻撃の手口が巧妙化する中、顕在化した攻撃に対する防御だけでは組織の安全性を十分に確保できません。そこで注目されているのが「脅威インテリジェンス」です。脅威情報を安全かつ効率的にツール間や組織間で共有するために、STIX/TAXIIという国際標準規格が使われています。

脅威インテリジェンスは、潜在的な脅威を迅速に把握し、先回りして防御を強化する上で欠かせない仕組みです。また、プロアクティブな防御だけでなく、リスクの優先度管理やインシデント発生時の対応、コンプライアンス対応にも役立ちます。脅威インテリジェンスを活用することで、最新情報をもとに先手を打った対策を行い、サイバーセキュリティを組織的に強化できます。

2. 脅威インテリジェンスは、どのように分類されますか?

脅威インテリジェンスは、以下ように大きく3つに分類されます。

  • 戦略的(Strategic)インテリジェンス:経営層によるセキュリティに関する意思決定や投資判断を支援する。近年のサイバー攻撃の傾向や動機など、マクロな視点の情報を提供する
  • 運用(Operational)インテリジェンス:短〜中期的なセキュリティ脅威の迅速な検知・対応を支援する。既に発生している脅威や脆弱性に関する情報をリアルタイムで提供する
  • 戦術的(Tactical)インテリジェンス:セキュリティ管理者や運用担当者向けの具体策を実行するための情報。攻撃者が使用する具体的な手口・ツール・手順(TTP)に焦点を当てたもの。

3. 脅威インテリジェンスの5つのフェーズとは何ですか?

脅威インテリジェンスは、計画から評価までのフェーズを体系的に理解し、改善を重ねることで最大限の効果が発揮されます。脅威インテリジェンスの代表的なフェーズには、方針策定、収集・加工、分析、配布、評価の5つがあります。

フェーズ概要
方針策定組織の課題や方針に応じて、脅威インテリジェンスの目的や要件を定義する
収集・加工定めた方針に基づいて多様なソース(オープンソースの情報や企業が提供する脅威フィードなど)からデータを収集し、解析・体系化する
分析収集したデータをもとに、攻撃のパターンや兆候を特定し、脅威の影響範囲や攻撃者の手口を把握する
配布分析・作成した脅威インテリジェンスを関係者に共有し、意思決定や対策実施につなげる
評価フィードバックの収集およびプログラムの評価を実施し、脅威インテリジェンスの改善を図る