サイバーセキュリティに携わっている方でも、脅威インテリジェンスは比較的聞き慣れない言葉なのではないでしょうか?

この記事では脅威インテリジェンスとはなにか?何故必要なのか?を紐解いてみたいと思います。

私自身が脅威インテリジェンスの初学者につき、至らない点が多々含まれているかと思いますがお許し願います。

脅威インテリジェンスそのものを深堀りする前に、サイバーリスクを構成する主要な要素を因数分解してみます。

リスク = 資産 x 脆弱性 x 脅威

資産とは、お客様のクラウドやデータセンターで継続的に開発・運用されているソフトウェア資産のことで、開発されたコードやサーバやコンテナなどを指します。

脆弱性とは、それらのソフトウェア資産が持っている"穴"のことです。バグの無いソフトウェアは世の中に存在しないため、どんな資産も脆弱性を持っていますね。

資産と脆弱性は、構成管理や脆弱性管理ツールを駆使して日頃から注視していれば、ある程度は自分で把握・対策することが可能かと思います。

脅威とは、何らかの力を使って相手を脅かすことと言えます。サイバーセキュリティの世界では攻撃者の存在そのものが脅威ですね。

脅威は相手(=攻撃者)が決めることにつき、自分で管理することは困難かと思います。困難ではあるものの、可能な限り正確に分析することで予測することは可能かと思います。

個々の断片化されたデータから、体系的で意味のあるインテリジェンスへの昇華を表現してみます。

データ -> 情報 -> 知恵 -> インテリジェンス

インテリジェンスとは、断片化されたデータに文脈を追加して分析を繰り返して、自分自身にとって意味と価値のあるものです。

脅威インテリジェンスとは、自分では管理することはできない事柄を、可能な限り正確に分析して意味と価値のあるものを生成して、相手の出方を予測して未然にリスクを軽減することと言えます。何かよくわからないですが。

STIXのような、脅威を組成する個々の要素を体系化して深堀りするフレームワークを活用することで、自分では管理することはできないが、正確に分析して予防に活かすことは可能ですね。何事も先回りが大切ですので。