セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Cyber Threat Intelligenceとは何か?(その1・2018年度版)

過去のエントリをいろいろ改善して再投稿しました。

今回のエントリーでは、Cyber Threat Intelligence(CTI)について解説をしていきます。

第1回では、Cyber Threat Intelligenceの概要について定義していきたいと思います。

Intelligenceとは何か?

Intelligence(インテリジェンス)は、様々な定義があり、例えば、CIAの資料 "A Definition of Intelligence"にもその定義は検討されています。Cyber Threat Intelligenceのことを踏まえて一般化すれば、以下のような定義です。

インテリジェンスとは、組織やグループのセキュリティや安全な状態を保つために、競争相手(敵)もしくはその代理人に関する情報を収集し、加工するプロセスである。

 ここの定義をもとに他の定義を見てみましょう。

データ形式としてのインテリジェンス

第一に、インテリジェンスを情報のひとつの形式としてみた場合です。以下の図は、インテリジェンスは収集されたデータを整理・加工して、分析・評価を加えたものであると定義されています。(画像は、The Sliding Scale of Cyber Securityから引用)

f:id:security_consultant:20170119142400p:plain

プロセスとしてのインテリジェンス

 第二に、インテリジェンスをプロセスしてみた場合です。以下の図は、Intelligence Cycleと呼ばれ、インテリジェンスを作成する際に重要となるプロセスのことです。基本的に、要求→収集→評価→分析→配布というプロセスを経て実施します。

f:id:security_consultant:20170119142044p:plain

Cyber Threat Intelligenceとは何か?

上記を踏まえて、Cyber Threat Intelligenceについて考えていきましょう。

Cyber Threat Intelligenceでは、上記で紹介したサイバーの脅威(Threat)に対してデータを加工して役立てていくことを目的としています。その前に、Threat(脅威)を定義したいと思います。具体的には、以下の3要素で定義されます。

Threat(脅威) = Hostile Intent(敵対的な意図) × Capability(能力)  × Oppotunity (機会)

上記のThreatの定義を発展させると、Threat Intelligenceとは以下のように定義できます。

攻撃者の意図・能力・機会に関する情報の分析を行うこと

ちなみに、この定義は数ある定義の一つであり、様々な定義が存在します。例えば、Gartner社は少し異なる定義を出しています。(参考資料

Threat Intelligenceとは、脅威・危険に対する主体者の対応に関する決定を知らせるために利用できる、既存または今後発生する資産への脅威に関する文脈、メカニズム、指標、含意および実行可能な助言を含む、エビデンス・ベースの知識を意味する。

Cyber Threat Intelligenceの分類

Cyber Threat Intelligenceは、その形式によりいくつか分類されます。

目的・期間による分類

Threat Intelligenceはその目的と期間で考えると、3種類に分類されます。

  • Tactical Threat Intelligence
  • Operational Threat Intelligence
  • Strategic Threat Intelligence

 以下の書籍では、上記3種類を以下のように説明しています。

サイバーセキュリティマネジメント入門 (KINZAIバリュー叢書)

サイバーセキュリティマネジメント入門 (KINZAIバリュー叢書)

 

以下のように、目的・利用サイクルにより情報の内容が変わります。

f:id:security_consultant:20180204130301p:plain

立場による分類

実際にThreat Intelligenceに携わる観点からすると、二つに分類されます。

  • Intelligence Generation(生産者サイド)
  • Intelligence Consumption(消費者サイド)

Intelligence Generationの立場では、インテリジェンスサイクルに従い、攻撃モデル(Cyber Kill Chain)、ダイアモンドモデル、ACHなどを使いながら集めたデータを分析していく立場となります。一方、Intelligence Consumptionの立場では、Threat Intelligence情報をいかに防御に利用していくか、ツールのインプットとして活用するかという視点が重要になります。

私見ですが、CTI Analystはどちらか片方の立場に属するというより、まずは外部からのIntelligenceを消費をしつつ、その過程で発見できたファクトについてはIntellligenceに昇華させていくという両方の立場を言ったり来たりする形になると考えられます。

まとめ

今回は、Threat Intelligenceの基礎についてまとめてみましたがいかがでしょうか。

Threat Intelligence分野はいろいろと学ぶべきことが多く今後も様々なアイディアを紹介していきたいと思います。