CTIの基本

このページでは、CTIの定義や基本的な性質に関する説明を行います。

CTIとは?

Cyber Threat Intelligence (CTI) とは、サイバー攻撃の防止や軽減に役立つ情報のことです。
具体的には、サイバー攻撃の観測情報、マルウェアの解析情報、IoC (Indicator of Compromise: 攻撃されたことを示すIPアドレスやハッシュ値などの証跡) 等が含まれます。

CTIを活用することで、セキュリティ活動で以下のようなメリットを得ることができます。
  • 迅速な意思決定

  • 効果的な対処

  • 脅威の優先順位付け

  • セキュリティエキスパートの知見に基づいた意思決定

CTIの活用例

企業などのセキュリティ活動においてh、CTIは以下のような用途で活用することができます。

  • 脆弱性マネジメント: 脆弱性の情報を収集し、パッチ対応の優先順位などを決定する

  • セキュリティオペレーション: セキュリティアラートに関連する情報を使用し、アラートのトリアージ (対応の優先順位付け) を行う

  • インシデントハンドリング: インシデントハンドリング中に発見されたIOC (Indicator of Compromise: 攻撃されたことを示すIPアドレスやハッシュ値などの証跡)をセキュリティインテリジェンスを用いて詳細に調査する

  • セキュリティ意思決定: 自組織を狙う攻撃者グループの戦術、テクニック、攻撃手法 (TTPs) を収集し、不足している防御能力を把握して対処する

CTIが持つべき性質

CTIは以下のような性質を明確にすることで、活用しやすい状態にすることができます。
  • 正確性(Accuracy)
    データの正確さに関する観点です。
    根拠となるデータを正確に記載してください。また、ログのサンプリングである場合や、データ取得方法に関して不明瞭な点がある場合は、その旨を記載する必要があります。
  • 明瞭性(Clear)
    内容の分かりやすさに関する観点です。
    読む人によって解釈が変わる場合は、CTIとして適切ではありません。脅威が何であるか、優先度はあるか、対応策はどれか、という点を消費者が容易に理解できる必要があります。また、データに基づいた客観的事実なのか、主観的な意見なのかを消費者が区別できる必要があります。
  • 速報性(Timely)
    情報のタイムリーさに関する観点です。
    正確性を重視しすぎるあまり、対策や緩和策(ミティゲーション)が後手に回ることは避ける必要があります。CTIの活用において最も重要な観点は、サイバー攻撃の防止と軽減です。正確な情報が追加された場合、間違った情報を掲載したことが判明した場合、新しい事実が判明した場合は、その都度CTIを更新するようにしてください。また、消費者もタイムリーにCTIを消費して、生産者にフィードバックを返す必要があります。
  • 意思決定(Actionable)
    脅威を理解させ、消費者が次に何をすべきかを迅速に決定させる観点です。
    脅威またはその対処方法が不明瞭な場合、追加のCTIを収集する必要があるため意思決定は遅くなります。脅威またはその対処方法が明瞭な場合、意思決定を早くすることができます。意思決定より先に対策が完了することはないため、迅速な意思決定は迅速な対応に不可欠となります。また、内容の正確性に問題がある場合、対処が完了しても、脅威に対して効果を発揮しないことがあります。
  • 消費者目線(Audience-focused)
    誰による消費を想定したCTIなのかという観点です。
    同じCTIであっても、防御対象が違う場合は脅威の見え方が変わってきます。CTIの生産者は、何を守るために生産したCTIなのかを明記する必要があります。