技術文書・技術解説
ファイア・アイ株式会社
サイバー脅威インテリジェンス入門:種類別特徴と効果
セキュリティの向上には、脅威情報の活用が欠かせない。中でも有用と目されるのがサイバー脅威インテリジェンス(CTI)だが、ベンダーごとの定義にいまだブレが残る。そこで真に役立つCTIを見極めるための要件を解説する。
要約
今日のサイバー攻撃グループは潤沢な資金に支えられ、明確な計画と目的のもとに活動を展開している。その防御のためには彼らの攻撃を多角的に分析したサイバー脅威インテリジェンス(CTI)が欠かせない。だが、セキュリティベンダーによるCTIの定義は一様でなく、脅威情報もさまざまな種類があるため、最適な製品を選定するのは容易ではない。
脅威情報のうち、シグネチャやレピュテーションフィードは各種ブロック技術の検知機能向上に効果を発揮するが、高度な攻撃の検知に必要な情報面は弱く、対応しきれないほどのアラートや誤検知を発生させかねない問題も抱えている。一方、脅威データフィードは、高度な攻撃の実態把握に役立つ反面、提供される情報はベンダーの顧客層のセンサーに依拠する受動的・回顧的なものであり、脅威情報としては限定的だ。
本資料は、こうした脅威情報の種類ごとの比較から、戦略・運用・管理レベルで効果を発揮する「真のCTI」に求められる要件を解説する。CTIの活用が、セキュリティ侵害リスクを軽減し、効果的なセキュリティ投資の実現につながることが分かるだろう。