セキュリティ対策で重要な「脅威インテリジェンス」とは？
セキュリティのプロが説く、その意味と必要性

いったいハッカーは誰を狙っているのか？

hazuki氏（以下、hazuki）：このようにセキュリティのニュースは非常にいっぱいありますが、これらを踏まえて、みなさんはきちんと自分事として考えられていますでしょうか。

先ほども軽くおうかがいをしましたが、自組織でどんな対策をしているのか。あれをやらないといけない、これもやらないといけないと、いろいろ考えることも多いかと思いますが、もちろんこちらは他人事ではないのでしっかり対策をしていきたいというところです。

そんな中で、実際、攻撃されている企業や団体、もちろん個人も含まれますが、「いったいハッカーは誰を狙っているんだ？」という疑問を持った方もいるのではないかなと思います。

このへんは後ほど説明もしていきたいと思うのですが、脅威インテリジェンスという分野は、細かい分類や定義がいろいろあるのですが、実際、誰かを狙っていると言えるものなんでしょうか？　佐野さん、どう思いますか？

佐野健一氏（以下、佐野）：一概には（言えない）ですよね。種類がいっぱいあって、このLockBitなんて行けるところから行くもので、例えばSHIFTさんを狙い続けて執拗に（攻撃する）というものではないですし。逆に言えば、SHIFTさんを狙って、なんとしてもSHIFTさんを侵害してやるといった攻撃手法もあります。いっぱいあるなという。大手（企業）じゃなくて中小（企業）を狙うのもありますし。

hazuki：そうですよね。狙い撃ちの時もありますし、業界として狙う時もありますし、穴があるところを探しまくって攻撃するパターンなど、いろいろありますよね。

佐野：そうですね。

hazuki：先ほど「アノニマスってどう思いますか？」というコメントや、LockBitというグループも名前が挙がりましたが、「ハッカー」と一言に言っても、かなりさまざまな分類がありますよね。

佐野：ありますね。先ほどのLockBitは組織犯系ですよね、金銭的利益ですし。アノニマスは、ハクティビスト系ですよね。日本で有名なのは捕鯨反対とかですよね。

hazuki：確かに。

佐野：オペレーション・キリング・ベイとかやっていましたよね。

hazuki：そうですね、昔ありましたよね。

佐野：やってくることは、DDoSだけなんで。

hazuki：そうですよね。ちょっとパターン化されているところがありますよね。「とりあえずDDoSしとけ」みたいな。

佐野：そうそう。さっき出ていたKillnetもそうですよね。DDoS攻撃をして「落としたぞ、すごいだろ俺たち」って。

hazuki：「なにか主義主張をしたいとなった時に、その手段がDDoS攻撃なのってどうなの？」という意見もけっこう目にする機会がありますね。

佐野：そうですね、そう思います。でも、物理的にイルカ漁反対と言って体当たりしてくるような環境組織もあるし、それのサイバー版で嫌がらせをしてくるやつらということなので。Killnetの時もそうですが、あんまり騒がず。ああいう報道をしちゃうと逆に……。

hazuki：そうですよね、はい。もう思うつぼというか。

佐野：そうそう（笑）。

hazuki：拡散されるというか。

佐野：「たかがDDoSです」というところを、ぜひ浸透させていきたいですね。

hazuki：さすが、ベテラン勢はおっしゃることが違いますね。冷静、さすがです。

内部不正型、ゼロトラスト…一般的に注目されるようになってきたセキュリティ

hazuki：それから、一番下の内部不正型。内部不正、内部犯行者、こちらは最近けっこう話題になりつつありますよね。

佐野：そうですね。確かにちょっと一巡して内部不正も最近、あるかな。USBの件とかもそうだけど。

hazuki：そうですよね。内部に不満を持った社員がいないかとか、あとは、セキュリティのソリューションの1つとしてDLP（Data Loss Prevention）というのがあったりとか。

佐野：そうですね。

hazuki：あとは、最近は落ち着いてきたかもしれませんが、「ゼロトラスト」というバズワードもはやりましたが、そういったところも関わって、セキュリティは一般的にもかなり注目されているトピックだなと感じています。

セキュリティ関連の教材について思うこと

hazuki：本日のタイトルにも入れているように、じゃあ現場の担当者、特に今回はWebエンジニアという職種である我々は何ができるんだろうかというメインのところに入っていきたいと思います。

セキュリティ対策をしていく上で、本日の非常に大事なキーワードになっている「脅威インテリジェンス」それから「アタックサーフェイス」という、この2つのワードについて、ちょっと触れていきたいと思います。みなさん、「脅威インテリジェンス」という単語を、聞いたことはありますか？　ぜひリアクションをいただければと思います。

リアクションを（ください）と言いつつ、あまりパターンがなかったです（笑）。あっ、いいねボタンをみなさんくれていますね。「本を持っている」という方もいます。すごいですね。

佐野：おぉ。

hazuki：これは若干脱線しますが、セキュリティ関連の教材って、英語と比べると日本語はあまり潤沢とは言いきれないところがある気がするんですけど。

佐野：そうですね。でも、セキュリティに限らずITはそうなんじゃないですかね。

hazuki：セキュリティというより、IT自体が。確かにそうですよね。

佐野：ゼロトラ（ゼロトラスト）とかも最初は英語の文献しかなかっただろうし。

hazuki：確かにそうですよね。時差で日本語にして発信していく方が増えていって。

佐野：そうそう、そうかなと思いますね。有名な本でいうと、『インテリジェンス駆動型（インテリジェンス駆動型インシデントレスポンス）』みたいな。

hazuki：そうですね、カラスの表紙の。

佐野：カラスの表紙の。

「脅威インテリジェンス」とは何か？　佐野氏の見解

hazuki：では、さっそくこの2つのキーワードの意味について、ちょっと触れていきたいと思います。こちらのパートは若干ややこしいというか、小難しい表現が出てくるところになっているので。インテリジェンスの専門家のサイファーマさんの適切なコメントをいただきながら、ちょっと解説していきたいと思います。

まずは、教科書的な解答というか、説明の仕方にはなりますが、「脅威インテリジェンスって何ですか？」「この単語はどんな意味なんですか？」と聞かれた時、脅威インテリジェンスの界隈だと、一般的にはこのGartner社。テクノロジーの調査をしている会社なんですが、こちらの企業の定義を目にする機会が非常に多いです。

脅威インテリジェンスとは、という文章が書かれていますが、こちらの1文、2文をわかりやすく言うと、どう表現することができますかね？　佐野さん、どうでしょう？

佐野：えぇ。

hazuki：難しいですよね。

佐野：難しいですね。僕らがよく使うのは、攻撃者の情報とか攻撃者が取る手法とか、自分たちの守りに役立つ情報。

hazuki：あぁ、わかりやすい。守りに役立つ情報。

佐野：そうなるかな。

hazuki：いや、もうだいぶそれで十分感ありますね。守りに役立つ情報。ここで言うと、既知や未知の脅威や危険に関わるというところですよね。

佐野：そうです、そうです。IoCが脅威インテリジェンスと言っているところもあったりするので。攻撃者のインフラの情報とか、悪用されるファイルのハッシュ値とか、それが脅威インテリジェンスですよと言っちゃうと範囲が狭すぎる。

hazuki：IoCは、Indicator of Compromiseでしたね。

佐野：そうです。

hazuki：この、「侵害の痕跡」。日本語に訳すとって感じですけど。

「脅威」という言葉の意味とは？

hazuki：今、Gartner社の表現をお見せして、かつ、佐野さんに非常にわかりやすくかみ砕いていただきましたが、こちらの日本語は単純に2つの単語に分けることができます。

この表現もよく目にするものではありますが、「脅威＋インテリジェンス」という2つの単語ですね。それぞれ見ていきたいと思います。

まず、「脅威」という単語の意味。辞書を引いていただいてもいいのですが、IT業界における脅威という単語の定義がISOでされています。

赤字にしています。「システムや組織に対して害を与える、望まないインシデントを発生する潜在的な原因」。インシデントを発生する潜在的な原因という表現ですね。これはもう、わかりやすい定義なのかなと個人的には思っています。

こちらがISOの定義ですが、これは2つ目の定義です。（定義は）複数あって、今度はSANSと言われる国際的な団体で、サイバーセキュリティのトレーニング、教育事業に特化した組織です。

このSANSの定義によると、脅威、Threatというのは、意図×機会×能力、Motivation、Opportunity、Methodと言ったりするんですが、この3つの掛け算ですよという言い方をしています。なので、脅威をもっと細かく分類して定義したものになります。

どうでしょう。みなさん、このあたりはどうですかね。「ふむふむ」ってなりますか？　それとも、「訳わからん」となりますかね？　

佐野：小難しさはありますよね。

hazuki：言葉の定義となると、小難しい感じがしますよね。

佐野：なんか、学校みたいな感じ。

hazuki：そうですね（笑）。「この3つの要素があります」みたいな。もちろん試験ではまったくないですが、攻撃者はなぜ攻撃をするのか。あと、攻撃をするためには機会、環境、攻撃をする人の能力という、3つの要素が関わっているという内容になっています。

佐野：わかりやすい。

「インテリジェンス」という言葉の意味とは？

hazuki：ちょっと小難しいかもしれませんが、次ですね。今度はインテリジェンスです。こちらのほうがややこしいというか、もう何を言っているかわからない単語だと思うので、こちらもさらっといきたいと思います。

インテリジェンスというのは、情報の収集・加工などの結果として作成される成果です。先ほど「脅威インテリジェンスとは？」というパートで少しお話ししたとおり、セキュリティに関するさまざまな情報を集めてくるだけではなく、集めてきた情報を自分たちにとって有益な情報にするために加工したり、この情報とこの情報を合わせたり、自分たちにとってどう影響があるのかと分析したり、解釈したりという、この一連のプロセスをインテリジェンスと言ったりしますね。

もともとは、脅威インテリジェンスやインテリジェンスは、軍事的な単語が起源なので、若干、仰々しい感じがありますね。

佐野：うんうん、ありますね。

hazuki：まぁ、セキュリティってけっこう軍事用語が使われることが多いですよね。

佐野：そうですね。もともと敵がいて守りがいるという考えは、それは軍になっちゃいますよねという感じがします。

hazuki：そうですね、戦いですよね。

（脅威インテリジェンスは）脅威とインテリジェンス、この2つの単語が掛け合わさったものなんですが、先ほどわかりやすくお伝えしていただいたとおり、守るために必要な情報だと解釈していただければいいんじゃないかなと思います。

もうちょっと細かい話をすると、（スライドを示して）こんなデータがあって、それが情報になって、インテリジェンスになっていくという段階になっていくのですが、こちらもややこしいので、さらっと見せています（笑）。

といったところが、まず本日の1個目ですね、「脅威インテリジェンス」という単語の説明になります。

コメントが少なくなってしまったのは、やはりややこしかったからですかね。

佐野：うーん。学校の講義的になったから。

hazuki：そうですね（笑）。では……（コメントを見て）あっ、悲しみスタンプが（笑）。リアクションありがとうございます。

（次回へつづく）