セキュリティ対策の強化を図るため、脅威インテリジェンスサービスの導入を検討している情報システム部門の方へ。脅威インテリジェンスサービスのタイプと選び方、おすすめのサービスを紹介します。
脅威インテリジェンスサービスとは、企業や公共機関などの組織がサイバー攻撃やセキュリティ上の脅威に対処するために必要な情報、つまり「脅威インテリジェンス」を提供するサービスです。一般的にアクセスできるインターネットの表層(クリアウェブ・サーフェイスウェブ)に加えて、サイバー犯罪者の主な活動領域であり調査に専門スキルを必要とするディープウェブやダークウェブも対象として情報を収集し、対処すべき脅威について知見を提供します。
EDRなどのセキュリティ製品・サービスが脅威の検出や対処を担うのに対して、脅威インテリジェンスサービスはその前段階である、セキュリティ対策の精度向上をサポートします。そのため、"攻め"のセキュリティ対策とも表現されることも。
近年、サイバー攻撃は巧妙化し、情報漏えいや企業ブランドのなりすまし、サプライチェーンリスク(関連会社への攻撃)といった多様なリスクへの対応が求められています。一方、企業の限られた人的リソースで、膨大かつアクセス困難な情報を監視しながら、網羅的なセキュリティ対策を講じるのは現実的ではありません。
そのため、対応策を効率的に決断するための手段として、注目されているのが脅威インテリジェンスサービスです。脅威インテリジェンスサービスを導入することで、インシデントが発生する前に攻撃パターンの特定やリスクの優先順位づけを行えるため、効果の高い対策を優先的に実施できます。
脅威インテリジェンスは内製化も可能でが、脅威に関する情報収集や分析には高度なノウハウが必要です。人材や体制整備に相応のコストがかかるため、社内にセキュリティの専門家がいない場合は、外部サービスに委託する方が高い費用対効果が見込めます。
脅威インテリジェンスサービスの主なサービス内容は以下のとおりです。
| 広範な脅威情報の収集 | クリアウェブ、ディープウェブ、ダークウェブから脅威情報を収集。企業や業界に関する情報漏えい、新たな攻撃手法などを包括的に把握できる |
|---|---|
| 高度な分析とリスク精査 | 収集した膨大な情報から、AIやデータ分析技術を駆使して重要な情報を抽出。組織にとって関連性の高い脅威を特定し、対処すべきリスクの優先順位付けを行う |
| 脅威情報のカテゴライズと可視化 | 情報漏えい、フィッシング、ブランドなりすましなど、多様な攻撃手法をカテゴライズ。ダッシュボードやレポートを通じて、分析しやすい形に情報を可視化する |
| 迅速な対応の支援 | 脅威検知時に推奨される対策や防御策を提案し、迅速な対応を支援する |
| セキュリティ製品との連携 | 脅威情報を既存のセキュリティ製品と連携し、セキュリティ強化に貢献する |
| 専門家によるサポート | 脅威アナリストによる分析支援や、専門家による定期的なブリーフィング、緊急時の対応支援などを提供する |
脅威インテリジェンスサービスは収集・分析できる情報の範囲によって、以下の2タイプに分けられます。それぞれの特長について解説します。
広範囲の情報を収集・分析できるタイプ。可能な限り多様な種類の脅威を把握・対策したい場合に適しています。
たとえば「Recorded Future」は、オープンソースやダークウェブ、SNS、フォーラムなど90万以上のソースから情報を収集・分析します。過去10年以上にわたり蓄積された脅威データから、自社に関わる脅威データを検索することも可能です。
また、「OpenText Threat Intelligence」は、何百万もの悪質なURLや悪質なトラフィックに関するIP情報から、迅速かつ正確にリスクを分析。脆弱性が解消される前に仕掛けられるゼロデイ攻撃や、感染のたびに挙動を変えて検出を回避するポリモーフィック型マルウェアなど、対策が困難な脅威も特定できます。
膨大な量のソースを対象とする調査に加え、独自の切り口で脅威に関わる情報を収集・分析を行うサービスもあります。
たとえば「Google Threat Intelligence」は、米国連邦政府のセキュリティ支援を行っている子会社「Mandiant」の専門家チームと連携して、脅威インテリジェンスサービスを提供。社内で運用している機器やサービスのインベントリ情報など、攻撃経路となりうるIT資産(アタックサーフェス)に関する脆弱性の検出や可視化を強みとしています。
また、「InterSafe Threat Intelligence Platform」は、Webフィルタリング事業で蓄積した90億以上のURLデータに加え、サンドボックス(検証用の仮想領域)などを活用した独自解析で脅威情報を検証。活性化している脅威情報を優先的に把握できます。
上記のタイプ分けに加えて、以下の3つのポイントに留意して比較検討を進めると、自社にあったサービスが選びやすくなります。
脅威インテリジェンスサービスは、膨大なソースに基づいて、日々更新される脅威情報やアラートを提供します。すべての脅威情報・アラートに目を通すのは不可能なので、それらの中から特に自社に与える影響の大きい脅威を選別する、リスク評価の精度がポイントとなります。
たとえば「Google Threat Intelligence」は、専門のセキュリティチーム「Mandiant」による分析や、関連する IOC(侵害指標)情報など、何百もの情報を集約したうえで、脅威の度合いがわかるスコアを表示。優先度の高い脅威をひと目で把握できます。
また「Argos Edge」は、機械学習と自然言語処理アルゴリズムを適用して、生データの関連性と組織にとっての重要性を判断。子会社や関連会社などの関係を理解したうえで脅威となりうるリスクを特定するなど、脅威インテリジェンスの文脈化に強みを持ちます。
脅威の分析・検知に留まらず、セキュリティツールへの連携など、脅威検出後の対策までスムーズにつなげられるサービスもあります。
たとえば「Rapid7 Threat Command」は、検出された脅威別に推奨される対策を表示。偽のWebサイトやSNSアカウント等の場合、削除やブロックリストへの登録を依頼できます。
また「OpenText Threat Intelligence」では、検出した悪質なサイトやトラフィックなどの脅威へのアクセスをブロック。マルウェアが疑われるファイルについては、ブロックまたは解析調査などを行えます。
「CrowdStrike Falcon Adversary Intelligence」は「Microsoft Sentinel」や「Cohesity」といったセキュリティソリューションとの連携に対応。IOCを共有して迅速な脅威検出を実現します。
脅威の調査・分析だけではなく、専門家やアナリストによる多様な支援を提供しているサービスもあります。
たとえば「Google Threat Intelligence」は、アドバイザーが個社の環境やユースケースに合わせて対処すべき脅威の優先順位づけを支援。加えて、専門チーム「Mandiant」による脅威インテリジェンスのコーチングも受けられるため、社内のセキュリティチームのスキルアップを図れます。
広範な情報の収集・分析に強みを持つ脅威インテリジェンスサービスを紹介します。
(出所:Recorded Future公式Webサイト)
80以上の国々で、政府や大企業に採用されているSaaS型サイバー脅威分析サービス。90万以上の情報源と特許取得済みのマシンラーニング技術により、リアルタイムでの脅威検出・分析を実現する。
世界的な動向から業界別の動向まで、様々な切り口で脅威リスクを把握できるスレッドビューや、特定の脅威に関する深堀り調査に役立つインテリジェンスカードなど、分析結果をわかりやすく表示する機能に強みを持つ。また、10年以上蓄積してきた過去データから、脅威情報を検索できる機能を搭載。キーワード、ソース、イベントタイプなど多彩な検索条件から自社に関連性の高い脅威情報を調査でき、プロアクティブなセキュリティ運用に貢献する。
(出所:Flashpoint公式Webサイト)
サイバー脅威インテリジェンスや物理セキュリティなど、多様なリスク対応に貢献するセキュリティソリューション。3.6ペタバイト以上のデータをもとに、AIを活用した分析と専門アナリストの洞察を組み合わせ、日々進化する脅威に対応する実用的なインテリジェンスを提供する。
金融詐欺やランサムウェア、アカウント乗っ取りなど、様々なプラットフォームやアタックサーフェスにおける脅威に対して、業界別のソリューションを展開。組織固有のニーズや特性に直接関連するインサイトを収集し、セキュリティ対策におけるタイムリーな意思決定を支援する。加えて、APIを利用した既存のセキュリティプラットフォームとの統合にも柔軟に対応する。
(出所:CrowdStrike Falcon Adversary Intelligence公式Webサイト)
AIネイティブの調査ツールやエンドツーエンドの自動化により、セキュリティ対策を強化する脅威対策ソリューション。事前設定されたワークフロー(プレイブック)で、SOAR(セキュリティー・オーケストレーション)の構築を支援。既存のセキュリティ対策・製品・ツールといったセキュリティスタック全体を効率的に自動化する。
24時間365日体制のモニタリングに加え、個社ごとにカスタマイズされた推奨事項を知らせる「自動脅威モデリング」や、数秒以内にファイル分析を実行する高度なサンドボックスなど、精査された脅威情報をタイムリーかつ正確に展開する機能を標準装備。インシデントへの対応スピードを向上させる。
(出所:Rapid7 Threat Command公式Webサイト)
イスラエル軍のサイバーセキュリティ部隊出身者が開発に携わった脅威インテリジェンスサービス。会社名、IPアドレス、ドメイン名など、顧客固有のアセット情報に基づく脅威を調査し、個社向けにカスタマイズされたセキュリティ対策を実現する。
ダッシュボードでは、サイバー攻撃の兆候、情報漏えいなど6つのカテゴリに脅威情報を自動で分類。検出された脅威ごとに推奨されるアクションを提示するほか、1クリックで偽サイトの削除を依頼できるなど、素早いアクションも可能だ。日本語出力ができる自動レポート作成機能を備え、経営層との情報共有を円滑に行えるのも魅力。
(出所:OpenText Threat Intelligence公式Webサイト)
進化するサイバー攻撃の先手を打つ、包括的脅威インテリジェンスサービス。機械学習と数百万に及ぶ実環境のエンドポイントから得た膨大なデータを活用し、最新の脅威と脆弱性をリアルタイムで検出・ブロックする。
急速に進化する脅威に対応し、高精度の検出と誤検出の削減を実現。URL・IPのレピュテーションやフィッシング対策、ポリモーフィック型マルウェアの検出など、複数の機能を個別またはセットで導入でき、スケーラブルなセキュリティインフラの構築を可能にする。また、SDKやAPIなど柔軟な連携オプションで、既存のセキュリティソリューションにシームレスに統合できるのも強み。
(出所:Argos Edge公式Webサイト)
サイバーセキュリティ大手チェック・ポイント傘下企業が提供する、脅威インテリジェンスソリューション。高度なクローラーによるデータ収集やアタックサーフェス管理、取引先などのサプライチェーンにおけるリスク分析を担い、包括的なセキュリティ強化を支援する。
組織にとって関連性の高い情報を収集したうえで、独自の機械学習アルゴリズムと自然言語処理技術を活用して、効率的にリスクを優先順位付け。また、フィッシングサイトや不正なプロフィールの検知に加え、テイクダウンサービスも提供し、脅威の検出から対応までをワンストップで行える。
(出所:Cognyte L UMINAR公式Webサイト)
世界100カ国以上の政府機関・企業への導入実績を持つ、AI駆動型の脅威インテリジェンスプラットフォーム。高度なAI技術により膨大な脅威データから重要な情報のみを抽出・スコアリングし、実用的なインサイトを提供。業務データの流出やランサムウェア被害、フィッシングなど多様なリスクを検出・分析する。
導入形態は2種類あり、アナリストが情報収集・分析を代行するレポーティングタイプと、ダッシュボードによる脅威の可視化で脅威インテリジェンスの内製化を支援するプラットフォームタイプから選べる。中堅企業でも導入しやすい低コスト設計で、運用負荷を最小限に抑えながらサイバーリスクを低減する。
(出所:EclecticIQ公式Webサイト)
組織の状況に応じて、最も重要な脅威を優先的に特定するAI搭載の脅威インテリジェンスプラットフォーム。構造化データに加えて、非構造化データも対象とする脅威データから、コンテキストに基づいた優先順位づけを行い、組織にとって重要なインサイトを提供する。
グラフ出力やピボットツールなどの分析支援機能でアナリストの業務を強力にサポート。自社による分析結果も脅威インテリジェンスとして登録・共有でき、SOC、CISOなど様々な役割の担当者間で、効率的な情報共有を行える。また、STIX/TAXIIなどのデータ形式に対応し、既存セキュリティツールとの連携も容易。加えて、オンプレミスとクラウド環境どちらにも対応する柔軟性も備える。
特定領域の情報収集・分析に強みを持つ脅威インテリジェンスサービスを紹介します。
※料金はすべて要問い合わせ
(出所:Google Threat Intelligence公式Webサイト)
Googleが保有する広範なデータと、子会社であり屈指の実績を持つセキュリティ企業Mandiantのノウハウが魅力の脅威インテリジェンスサービス。数十億人のユーザー、数十万時間に及ぶインシデント対応の調査を通じて、脅威の全体像を浮き彫りにする。
Gemini AIによるサポートに強みを持ち、個社の行動を学習することで、不要なアラート・ノイズを最小限に抑えるだけでなく、よりニーズに適した出力を提供するように進化。自然言語の要約にも使えるため、攻撃手法や脅威ランドスケープにかかわる専門的な情報もスムーズに把握できる。脅威分析に必要なツールを一元化した強力なワークベンチ環境も備え、プロアクティブなセキュリティ戦略の構築を支援する。
(出所:InterSafe Threat Intelligence Platform公式Webサイト)
多様化・複雑化するサイバー脅威から組織を守る、国産の脅威インテリジェンスデータプラットフォーム。Webフィルタリング事業を通じて25年以上かけて蓄積された90億以上のURLを保持。これらを含む独自データとサンドボックス環境の解析で、高度な脅威情報を提供する。
C2サーバやフィッシングサイトといったアウトバウンド通信に加え、ブルートフォース攻撃やDDoS攻撃などのインバウンド通信も対象とする、包括的なセキュリティ対策を支援。シンプルテキストやSTIXファイルなど汎用的なデータ形式を提供し、既存システムとのスムーズな連携で導入コストの最小化にも貢献する。
脅威インテリジェンスサービスは、サイバーセキュリティへの脅威にかかわる情報を素早く把握できるサービスです。膨大なデータの調査と、AIや専門家による分析により、自社との関連性が高い脅威に絞った効率的なセキュリティ対策が可能になります。
脅威インテリジェンスサービスは、「1.広範な情報の収集・分析に強みを持つタイプ」「2.特定領域の情報収集・分析に強みを持つタイプ」の2タイプに分かれます。これらのタイプ分けに加えて、「リスク評価の精度」「対策支援機能の充実度」「アナリスト支援の充実度」といったポイントでサービスを比較すると、自社にあったものが選びやすくなります。
脅威インテリジェンスサービスを導入することで、日々進化する脅威にプロアクティブな対策を講じ、強固なセキュリティ環境の構築を進められます。本記事を参考に、ぜひ脅威インテリジェンスサービスの導入を検討してみてください。
記事をシェア
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
資料ダウンロード用のURLを「asu-s@bluetone.co.jp」よりメールでお送りしています。
なお、まれに迷惑メールフォルダに入る場合があります。届かない場合は上記アドレスまでご連絡ください。
