特集/連載
「脅威インテリジェンス」と「脅威ハンティング」は何が違い、どう使うべき?:脅威に賢く対抗する【前編】
攻撃の手口が巧妙化する中、守る側も賢く対策を講じなければならない。その手法として「脅威インテリジェンス」と「脅威ハンティング」がある。どのようなものなのか。
人工知能(AI)技術の普及を背景にして、セキュリティ業界で最近注目されているのが「脅威インテリジェンス」と「脅威ハンティング」だ。この2つを活用することで、手口が巧妙化する攻撃にどう対抗できるのか。脅威インテリジェンスと脅威ハンティングとは何かを解説しつつ、防御力を高める上での可能性を探る。
脅威インテリジェンスで何ができるのか?
併せて読みたいお薦め記事
AI技術がセキュリティにもたらす可能性とは
脅威インテリジェンスとは、さまざまな情報源から脅威関連の情報を収集して分析する手法だ。情報の収集や分析にはAI技術を取り入れ、脅威の特定から対処までの流れを自動化する。脅威インテリジェンスを使うことで、既知の脅威だけではなく、未知の脅威も把握して対策を講じることが可能になる。セキュリティベンダーは近年、脅威インテリジェンスをセキュリティ製品に組み込むようになった。
脅威インテリジェンスの主な機能
脅威インテリジェンスは複数の役割を持つ。以下に主なものをまとめた。
- データ収集
- さまざまな情報源からデータを加工せずに集める。情報源には、WebサイトやSNS(ソーシャルネットワーキングサービス)、オンラインフォーラムといった公開情報の他に、ダークWeb(通常の手段ではアクセスできないWebサイト群)や組織の内部情報などが含まれる。データ収集の目的は、攻撃の経路や手口についてパターンを特定することだ。
- データ分析
- 収集した未加工のデータにフィルターをかけて不要な情報を取り除いた上で、分析を実施。脆弱(ぜいじゃく)性や疑わしい動作といった脅威を洗い出す。分析エンジンにはAI技術が採用されている。そのため、大量のデータを短時間で分析できる。
- コンテキスト化
- 分析を踏まえ、情報の「文脈」を作る。特定された脅威はどのような種類でどのくらいの危険度があり、自社としてはどう対処すべきかといった関連情報が得られる。
- 実用的な洞察
- 最後に、対策を講じるためのアクションを示す。アクションとは例えば、脆弱性のパッチ(修正プログラム)適用やファイアウォールのルール変更、インシデント対処の手順の見直し、従業員向けセキュリティ教育内容の更新などだ。
脅威ハンティングとは
脅威ハンティングとは、狩りのように、脅威を能動的に見つけ出すことを指す。アラートを受けて対策を講じる従来のアプローチは、どちらかというと受動的だ。プロアクティブに脅威を探すことによってまだ公表されていない脆弱性などを特定し、いち早く対策を打てる。
脅威ハンティングの主な機能
- 仮説を立てる
- 脅威ハンティングは脅威インテリジェンスと同様にさまざまな情報を分析するが、分析結果から仮説を導き出すことを特徴としている。仮説を立てることで、組織は的を絞り込んで調査を実施できる。例えば、過剰な通信を発見した場合だ。その原因はいろいろ考えられるが、「過剰な通信=攻撃の兆し」という仮説を立てて調査すれば、「イエス」か「ノー」かの明確な答えを得られる。
- 人間による分析
- 脅威ハンティングはAI技術を使った自動分析ツールだけではなく、経験豊かなセキュリティ専門家による分析ノウハウや判断も取り入れ、さまざまなツールや手法を組み合わせて脅威を探せる。
- 高度な脅威を特定
- 脅威ハンティングには、従来のセキュリティ対策では見逃される可能性がある高度な脅威や複雑な攻撃パターンを見つけ出す。攻撃者が検出を回避するために使用する手段を見抜いて脅威に対抗できる。
後編は、脅威インテリジェンスと脅威ハンティングを組み合わせて実行するメリットを紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.