日に日に高度化かつ巧妙化するサイバー攻撃に対応するため、よりセキュアな製品開発・サービス提供を実現することを目的として、CTI（Cyber Threat Intelligence：サイバー脅威インテリジェンス）を積極的に活用する動きが広がっています。本記事では、CTIの概観、CTIを企業が活用するメリット・事例について紹介していきます。

 

CTI（サイバー脅威インテリジェンス）とは？

CTI（サイバー脅威インテリジェンス）とは、情報セキュリティの専門家によって収集・分析された、サイバーセキュリティに係るあらゆる情報の総称です。

一般的には、企業によって収集・蓄積された情報を社内の専門家によって分析したものをCTIと呼ぶことが多いですが、最近は世界中の企業が保有・活用するCTIをグローバルに共有し、連携したセキュリティ対策を行う動きが増えています。

CTIの活用は攻撃者の動機、能力、標的、攻撃方法などを理解するために非常に有用であり、従来のセキュリティ対策では対応出来なかった高度なサイバー脅威にも対応できる可能性が高まります。

 

CTIを活用するメリット

CTIを活用することの代表的なメリットを、3つご紹介します。

第一に、CTIの活用を進めると、それまで未知で対策が不可能だった脅威の仕組みを明らかにできる可能性が高くなり、より効果的なセキュリティ対策の実現に役立ちます。

第二に、CTIの活用によって攻撃者の動機、戦略、技術、手順などを特定することが可能になり、企業はセキュリティ対策の大きなアドバンテージを得ることができます。

第三に、CTIの活用は、セキュリティの専門家が攻撃者の攻撃プロセスをより深く理解する一助となるため、社内の専門家チームのレベル向上に役立ちます。

 

CTIの活用事例

ここからは、企業活動の中でCTIがどのようなシーンで活用されているのかを紹介します。

SOCにおけるCTIの活用

SOC（Security Operation Center）とは、サイバー攻撃の検出や分析を行って対応策を思案・提案するチームのことです。

SOCがCTIを活用することで、組織内にどのようなリスクが潜んでおり、それらが顕在化することでどのような被害を被るのか、といった「リスク分析」を効率的に行う事ができるようになります。リスク分析の効率化はインシデントの優先順位付けをより迅速にし、結果として、企業のセキュリティ対策の循環をより速く効果的なものへと成長させます。

CSIRTにおけるCTIの活用

CSIRT（Computer Security Incident Response Team）とは、インシデント発生時にそれを調査・分析・対応するチームのことです。

CSIRTがCTIを活用することで、インシデント発生時に「何から調査・対応するか」といった優先順位付けを行うことができ、有事の際の迅速な対応に結びつきます。

CSIRTの基本的な役割は「インシデントを調査して被害を最小限に食い止めること」であるため、日ごろからCTIを活用して様々な脅威を広く深く理解しておくことで、企業のインシデント対応力の向上が期待できます。

経営層におけるCTIの活用

CTIを活用することは、組織マネジメントを行う経営層にも大きな利点をもたらします。

例えば、CEOやCTOなどがCTIを活用することは、自社がどのような脅威にさらされているのかの具体的な理解に役立ちますし、現状のセキュリティ対策の過不足の把握にもつながります。

このように、経営層によるCTIの活用は、彼らがセキュリティ対策の必要性について理解し、投資・リスク管理・効率化などに係る迅速な意思決定を行うために非常に有用です。

 

CTIを活用することの難しさと、解決策

しかしながら、CTIの活用は欧米がリードしており、日本ではあまり進んでいないのが現状です。事実として、一般的な中小企業がCTIを活用する体制をゼロから整えるためには、新たにセキュリティの専門家を雇うなど、その他様々な障壁を乗り越える必要があるため、現実的ではないかもしれません。

その場合、最も効果的・効率的な解決策の一つが「セキュリティソリューションを導入すること」です。

貴社がWebアプリ・サイトを提供しているのであれば、WAFの導入は必ず必要ですし、新たなセキュリティトレンドである「ゼロトラストセキュリティ」の実現を目指すならば、RASを導入することで多大な支援を受けることができます。

また、セキュリティソリューションの導入を検討する際は、そのセキュリティ企業が「CTAに加盟しているか？」という点も重要です。

 

ペンタセキュリティ、CTAに加盟

サイバー脅威は日々高度化かつ巧妙化しており、国や地域を問わず、被害は深刻化・広範化の一途をたどっています。ゆえに企業・組織は国境を超えて連携し、積極的なセキュリティ対策を行う必要があります。

このような課題を解決するために、2017年に設立された非営利団体が「CTA（Cyber Threat Alliance）」です。CTAはアメリカ、欧州、イスラエルに拠点をもつグローバルセキュリティ企業6社によって設立された、いわば「セキュリティ業界連合」で、世界中の企業/組織で日々蓄積され続けるCTI（サイバー脅威インテリジェンス）を、誠実かつ公平に共有することで、各組織のセキュリティ強化を図ることを目的としています。

CTAの脅威情報は誰でも入手できるわけではなく、CTAが規定した一定の価値をもつ脅威情報を提供可能な（CTAに加盟している）セキュリティ企業に限られます。つまり、CTAに加盟するということは、その企業が脅威情報の収集・分析にかかる高度な技術を有していることの証明でもあるのです。

サイバーセキュリティ企業であるペンタセキュリティ株式会社は、2022年4月からCTAに加盟しています。すでに140を超える国と地域にユーザーを持つ実績豊富な企業ではありますが、CTAとの脅威情報共有により、より高度なセキュリティソリューションの提供が可能になります。

 

まとめ

CTIを活用することには、セキュリティの専門チームであるSOCやCSIRTだけでなく、一般の社員や経営層にまでたくさんの利点があります。まずは小さな規模からでも、CTIの導入・活用を検討してみてはいかがでしょうか？

また、CTIの活用が難しい場合は、セキュリティソリューションの導入がおすすめです。

Cloudbricは、情報セキュリティで必要とされているあらゆるソリューションを、1つのプラットフォームで提供しています。世界中の各評価機関にて証明された確かな技術力と、豊富な実績に裏打ちされた高い専門性が、貴社のセキュリティ課題に応えます。

▽クラウド型WAFサービス「Cloudbric WAF+」

▽AWS WAFに特化した運用管理サービス「Cloudbric WMS」