サイバー脅威インテリジェンス

CERT-UKによると、サイバー脅威インテリジェンス（サイバーきょういインテリジェンス、CTI: Cyber Threat Intelligence）は「掴みどころのない」^[1]概念である。サイバーセキュリティは、ITセキュリティ専門家を採用し、組織にとって不可欠なインフラまたは知的財産を保護するための技術的手段を導入することで構成される。一方、CTIはオープンソースインテリジェンス (OSINT)、ソーシャルメディアインテリジェンス（英語版） (SOCMINT)、ヒューマンインテリジェンス (HUMINT)、そしてテクニカルインテリジェンス (技術情報) または深層Webとダークウェブからのインテリジェンス (情報) を用いた情報収集を基礎に置く。CTIの主要ミッションは、以下の3つの領域における動向と技術開発の調査と分析である。

サイバー犯罪
ハクティビズム
サイバーエスピオナージ (持続的標的型攻撃 (APT)、サイバースパイ活動（英語版）とも)

調査や分析に基づいて蓄積されたデータにより、国家は予防策を事前に考え出すことが可能になる。サイバー脅威の深刻な影響を考慮すると、CTIは国際安全保障を維持するための効率的なソリューションとして発展しているといえる。

種類

英国国家サイバーセキュリティセンター (NCSC) は脅威インテリジェンスを4種類に分類している^[2]。

戦術的 (タクティカル): 攻撃者の手法、ツール、戦略——潜入を試みる潜在的危険アクターに対抗するために十分なリソースに依拠し、何らかの措置を必要とする
技術的: 特定のマルウェアのインジケーター
運用上: 特定の攻撃の詳細、組織が未来のサイバー脅威を判定する能力を評価
戦略的 (ストラテジック): 変動するリスク (戦略の変更) に関する高度な情報——脅威の批判的評価を行うよう完全に決定するのに上層部が必要^{[誰によって?]}

金融業界を見ると、イングランド銀行のCBEST^[3]フレームワークではペネトレーションテストはセンシティブな商業部門 (銀行業界等) を保護するのに適当ではなくなっていると想定されている。これを受けて、英国金融当局 (イングランド銀行、大蔵省、金融行動監督機構) は、金融機関をサイバー脅威から守るためのいくつかの手段を推奨している。これには「英国政府内で活動している脅威インテリジェンスプロバイダーからの勧告」を受けること等が含まれている^[4]。

戦術サイバーインテリジェンス

大量のデータにコンテキストと関連性を提供する
能動的なサイバーセキュリティ体制の展開と全体的なリスク管理ポリシーの強化を行う組織能力を高める^[要出典]
サイバー侵入の最中または後にどのような意思決定をすればより良いかを知らせる
受動的なだけではなく能動的でもあるサイバーセキュリティ体制に向けた動きを推進する^[5]^{[要ページ番号]}
高度な脅威をより良く検出できるようにする

サイバー脅威インテリジェンスの価値に関する課題と論争

サイバー脅威インテリジェンス調査が直面している課題もある。これには脅威インテリジェンスの価値と、脅威インテリジェンスが本当に機能するのかということに関するいくつかの論争が含まれる。現状の脅威インテリジェンスが本当に効果的かどうかに関して、様々な専門家が懸念を表明している^[6]^[7]^[8]。一方で、脅威インテリジェンスは脆弱性とその解決方法の特定に役立ち得ると主張している者もいる^[9]。

要因分析

サイバー脅威には、コンピューター、ソフトウェア、そしてネットワークの使用が絡む。サイバー攻撃の最中または後、攻撃者と被害者間の該当するネットワークとコンピューターに関する技術情報は収集することができる。しかし、攻撃に関与した人物、動機、または攻撃の最終的なスポンサーを特定することは困難である。脅威インテリジェンスに関する近年の取り組みでは、敵のTTP (戦術、技術、プロシージャ（英語版）) を理解することが重視されている^[10]。

APT要因分析の研究

APT1
APT28
APT 29
Blackvine Cyber Espionage group
Dragonfly
ESG Solution Showcase - Cavirin Hybrid Cloud Security
Joint FBI and DHS report on the DNC hack
Waterbug Group
Seedworm

CTIと政治的リスク

米国、ロシア、中国、そしてイラン等の地政学的に影響力の高い国々は、外交政策と情報収集政策の延長としてサイバースペースを使用している。これらの目的を達成するため、主に以下の分野に特化したAPT部門が組織されている。

会社または政府のコンピューターシステムからの機密情報の収集
不可欠なインフラコンピューターシステムの電子的ペネトレーションまたは破壊 (たとえばスタックスネットを参照)

現在の地政学的論争と上層部の隠れた政治的動機の深い理解を含めてCTIと政治的リスク分析を組み合わせることで、アナリストは未来のサイバー戦争のパターンを理解することができる^[要出典]。

発展資料

Anca Dinicu, "Nicolae Bălcescu" Land Forces Academy, Sibiu, Romania, Cyber Threats to National Security.Specific Features and Actors Involved - Bulletin Ştiinţific No 2(38)/2014
Zero Day: Nuclear Cyber Sabotage, BBC Four - the Documentary thriller about warfare in a world without rules - the world of cyberwar.It tells the story of Stuxnet, self-replicating computer malware, known as a 'worm' for its ability to burrow from computer
What is threat intelligence?- Blog post providing context and adding to the discussion of defining threat intelligence.
Threat hunting explained - Short article explaining cyber threat intelligence.
A known actor in cyber threat intelligence - Site dedicated to threat intelligence.

脚注

^ CERT-UK, An Introduction to Threat Intelligence
^ NCSC, Threat Intelligence: Collecting, Analysing, Evaluating
^ CBEST, An Introduction to Cyber Threat Modelling
^ CBEST, Implementation Guide
^ Intelligence and national security alliance, cyber intelligence task force December 2015
^ Do Threat Intelligence Exchanges Really Work?
^ Is Threat Intelligence Garbage?
^ 5 Reasons Why Threat Intelligence Doesn't Work
^ Four Concrete Ways Treat Intelligence Can Make Organizations Safer
^ Levi Gundert, How to Identify Threat Actor TTPs

種類