• 情報収集はセキュリティの基本
  • 脅威情報の提供サービスを使え
  • 脅威情報には標準の記述形式がある

 近年、サイバー攻撃が極めて高度化しています。この状況を憂慮して、CSIRT(Computer Security Incident Response Team)というセキュリティの専門チームを設ける企業が急増しています。CSIRTの役目は、セキュリティインシデントへの対処だけではありません。他社で発生したインシデント情報を早期に入手し、自社の対策に生かす「早期警戒」も重要なミッションです。今回は、この早期警戒を取り上げます。

 セキュリティを維持、確保していく上で、情報収集は欠かすことができない重要な活動です。例えば、利用しているOSやミドルウエアの脆弱性の情報を早期に得て、対応の必要性を見極めた上でパッチを適用するというのは、セキュリティ対策の基本中の基本といえます。また、流行しそうなサイバー攻撃手法の情報をいち早く入手して対策を練ることも重要です。早期警戒という面では、これら一般的な情報に加えて、次に説明する「脅威情報」(スレットインテリジェンス)の収集が最近になってCSIRTに強く求められるようになりました。

 標的型攻撃やAPT(Advanced Persistent Threat)などと呼ばれる高度なサイバー攻撃は、一般的なセキュリティ対策では防ぎきれません。そこで、他の企業や組織に向けて実際に行われたサイバー攻撃の情報を入手して、類似の被害を食い止めようという考え方が出てきました。そこで必要となるのが、脅威情報なのです。具体的には、標的型攻撃に利用されたマルウエアの通信先IPアドレス、検体(のハッシュ値)、配布に使われたWebサイトやフィッシングメールの文面といった情報です。