目次
脅威インテリジェンスプロバイダーとは?
脅威インテリジェンス・プロバイダーは、組織が潜在的な脅威を特定、理解、緩和できるよう支援します。これらの企業は、さまざまなソースからのデータを集約・分析し、実用的な洞察を提供することで、組織のセキュリティ態勢を強化します。
これらのプロバイダーは、データフィード、レポート、アラートを通じて、マルウェア、脆弱性、新たな脅威ベクトルなどのリスクについて情報を提供し、組織が積極的に自らを保護できるようにします。これらのプロバイダーは、リスクを評価するためのツールや手法を活用し、さまざまな組織のニーズに合わせたインテリジェンスを提供します。
提供される洞察は、インシデント対応、ポリシー作成、リスク管理戦略に役立ちます。脅威インテリジェンス・プロバイダーは、あらゆる組織のサイバーセキュリティ・インフラストラクチャーの一部として機能し、進化するサイバー脅威に対抗するための絶え間ない情報の流れを提供する。
これは、サイバー脅威インテリジェンスに関する一連の記事の一部である。
脅威インテリジェンスプロバイダーの種類
商業プロバイダー
商業的な脅威インテリジェンス・プロバイダーは通常、サブスクリプション・ベースのサービスを提供し、脅威フィード、ダッシュボード、レポートなどのさまざまな製品を提供している。これらの企業は、サイバーセキュリティのさまざまな側面をカバーするツールを提供するために、研究開発に多額の投資を行っています。これらのプロバイダが提供する製品は、組織内の既存のツールと統合されます。
こうしたプロバイダーの価値は、タイムリーで正確なインテリジェンスを提供する能力にあると考えられ、攻撃を未然に防ぐのに役立っている。プロバイダーは多くの場合、個別の分析とサポートを提供し、企業が自社の業務に関連する脅威に対処できるよう支援する。商用プロバイダーが提供するデータ主導のサービスは、実用的で直接適用可能である。
オープンソース・プロバイダー
オープンソースの脅威インテリジェンス・プロバイダーは、自由にアクセスできるデータとツールを提供している。これにより、商用サービスを利用する予算がない組織でも脅威インテリジェンスを利用できるようになる。オープンソースのソリューションは、コミュニティからの貢献に依存していることが多く、共有されるインテリジェンスは、多様な貢献や洞察によって豊かになる共同作業となります。
このようなプロバイダーは通常、透明性と適応性を提供し、ユーザーが自分のニーズに合わせてツールやデータをカスタマイズすることを奨励している。広く利用され、コミュニティが関与することで、継続的な更新と改善が保証される。オープンソースのソリューションは、商用サービスのように洗練されたインターフェースや直接的なサポートに欠けるかもしれないが、有用な情報やリソースを提供している。
政府および非営利団体
政府および非営利の脅威情報プロバイダーは、より広範な地域または国家の安全保障に重点を置いている。これらの機関は、公共インフラを保護し、国またはセクター固有のサイバーセキュリティを確保するために、重要な脅威情報を発信している。これらの機関は、しばしば業界の専門家と協力し、民間部門と公共部門の両方を保護するために不可欠なインテリジェンスを共有しています。
営利を目的とせずに活動するこれらの組織は、徹底した調査と報告を優先する。政府情報へのアクセスや国際的なパートナーシップなど、幅広いリソースの恩恵を受けている。そのため、提供する脅威情報の精度と信頼性を大幅に向上させることができる。
脅威インテリジェンスプロバイダーが提供する主なサービス
データ収集と分析
脅威インテリジェンス・プロバイダーは、ダーク・ウェブ、ハッカー・フォーラム、既知の脅威データベースなど、多数の情報源からデータを収集する。このデータを利用して、新たな脅威が顕在化する前に予測・特定するための分析モデルを開発する。これらのプロバイダーは、アルゴリズムやAIを通じて膨大な量のデータをふるいにかけ、関連するトレンドやパターンを浮き彫りにし、セキュリティに関する洞察を提供する。
分析プロセスでは、断片的なデータを関連付け、潜在的な脅威を詳細に把握します。プロバイダーは、これらの調査結果を消化しやすいレポートにまとめ、セキュリティ・プロトコルの再調整方法について意思決定者に通知します。この収集と分析の継続的なループは、組織がサイバー脅威の先を行くために不可欠である。
脅威のモニタリング
インテリジェンス・プロバイダーが提供する脅威モニタリング・サービスでは、ネットワーク活動を継続的に監視し、脅威の存在を示す可能性のある異常を特定します。通常業務のベースラインを確立することで、これらのプロバイダーは潜在的なセキュリティ・インシデントのシグナルとなる逸脱を検出し、タイムリーな介入を保証します。
自動化された監視ツールは、不審な活動をセキュリティチームに警告し、インシデント対応時間を最適化する。このアプローチは、プロバイダが脅威行為者の動きや意図を追跡できるため、被害を最小限に抑えることができる。モニタリングは、セキュリティ侵害や脆弱性に迅速に対処することで、組織が運用の安定性を維持するのに役立ちます。
脆弱性管理
脅威インテリジェンス・プロバイダーは、組織のシステム内の脆弱性の特定と管理を支援する。脅威インテリジェンス・プロバイダーは、定期的なスキャンと評価を実施し、サイバー犯罪者が悪用する可能性のある脆弱性を突き止めます。これらの脆弱性に関するレポートを提供することで、組織はパッチやアップデートの優先順位を決め、攻撃者の潜在的な侵入口を減らすことができる。
プロバイダーはまた、組織が定期的な更新、パッチの展開、脆弱性評価など、構造化された脆弱性管理プロセスを開発するのを支援する。このメンテナンスにより、セキュリティ態勢が改善され、攻撃が成功するリスクが大幅に低下し、重要な資産やデータの保護に役立ちます。
レポートとアラート
脅威インテリジェンス・プロバイダーが提供するもう一つの機能は、詳細なレポートとリアルタイムのアラートの配信である。レポートには、特定された脅威、新たな脆弱性、サイバー犯罪の傾向に関する分析が含まれる。これらの文書は戦略的計画の指針となり、組織がリスクレベルに基づいてリソースの優先順位を決定するのに役立ちます。
リアルタイムのアラートにより、セキュリティ・チームに緊急の脅威が通知され、潜在的な侵害を軽減するための迅速な対応が促進されます。これらのアラートを自動化することで、対応時間を短縮し、業務への影響を最小限に抑えることができます。一貫したレポーティングとアラートにより、企業は強固なセキュリティ体制を維持し、現在および将来の脅威に備えることができます。
脅威インテリジェンス機能を備えた注目すべき脅威検知およびレスポンス・プロバイダー
1.エクサビーム

Exabeamは、高度なアナリティクス、自動化、AIを組み込んだ最新のSIEMおよびセキュリティ・オペレーション・プラットフォームであり、企業が脅威をより効果的に検知、調査、対応できるよう支援します。その強みは、ユーザーとエンティティの行動分析(UEBA)と外部脅威インテリジェンスの柔軟な取り込みを組み合わせることで、セキュリティチームがグローバルな脅威のインサイトとローカルの活動データを関連付けることを可能にします。
主な特徴
- 行動分析:通常のユーザー、デバイス、およびエンティティの動作のベースラインを確立し、クレデンシャルの不正使用、内部脅威、または高度な攻撃を示す可能性のある異常を検出します。
- 調査の自動化:タイムラインとストーリー主導のインシデント調査を使用して、関連するアラートを自動的にまとめ、アナリストの作業負荷を軽減します。
- 検知エンジニアリング:セキュリティチームは、独自の環境を反映するために、検出コンテンツを迅速に作成、カスタマイズ、調整することができます。
- AIとエージェントによるサポート:Exabeam AI主導のエージェント・システムであるNovaは、脅威の発見、調査、経営陣への報告を加速させます。
脅威インテリジェンス統合
Exabeam大手脅威インテリジェンス・サービス・プロバイダーやオープンソースのフィードと統合し、検知と対応を強化します:
- 脅威のフィード摂取
- IOC(IP、ドメイン、ハッシュ、URL)のシームレスな取り込みのために、STIX/ TAXIIやベンダーAPIなどの標準をサポートしています。
- セキュリティチームは、商用、オープンソース、政府の脅威情報ソースから取り込むための取り込みルールを設定することができます。
- 現地データとの相関
- インジェストされたIOCは、内部ログ、エンドポイントデータ、ユーザー行動記録と自動的に関連付けられる。
- Exabeamのアナリティクスは、外部からの脅威が環境に積極的に存在しているかどうかを検証し、無関係なフィードによるノイズを低減します。
- リスクに基づく優先順位付け
- 外部脅威情報指標はUEBAリスクスコアリングと組み合わされ、可能性の高い脅威に優先順位をつける。
- これにより、アナリストは組織に影響を与える可能性が最も高い脅威に時間を費やすことができる。
- 自動応答
- SOARワークフローと統合することで、インテリジェンスの一致が検出された場合、自動化されたブロック、隔離、エンリッチメントのアクションが可能になります。
- 例Cisco TalosまたはRecorded Futureによってフラグ付けされた悪意のあるIPが、内部ネットワークログとクロスマッチし、自動ファイアウォール・ブロックのトリガーとなる。
- エコシステム・パートナーシップ
- Exabeamは、さまざまな脅威情報プロバイダー(商用およびオープンソース)と連携しているため、Recorded Future、Mandiant、Cisco Talos、MISPコミュニティなど、顧客のニーズに最も適したフィードを選択することができます。
なぜ重要なのか
外部脅威インテリジェンスと内部行動コンテキストの橋渡しをすることで、Exabeam、グローバルインテリジェンスが単に消費されるだけでなく、SOC内で運用されることを保証します。これにより、誤検知を減らし、対応を迅速化し、組織が進化する敵に先んじることができます。
2.マイクロソフトセンチネル

Microsoft Sentinel は、セキュリティデータを一元管理し、分析、自動化、AI を活用して、マルチクラウドおよびハイブリッド環境全体にわたる脅威を検知・対応する、クラウドネイティブな SIEM プラットフォームです。データ収集、相関分析、調査機能に、組み込みのオーケストレーション機能やインテリジェンス機能を組み合わせることで、セキュリティチームは大量のテレメトリデータを分析し、脅威に対してより効率的に対応できるようになります。
一般的な特徴
- クラウドネイティブのSIEMプラットフォーム:SIEM、SOAR、UEBA、および脅威インテリジェンス機能を統合し、セキュリティ運用に向けた一元化されたクラウドベースのシステムを提供します。
- データレイクと集中型ストレージ:分析や検知を支援するため、スケーラブルなデータレイクに大量のセキュリティデータを集約・保存します。
- 全社的な可視性:幅広いコネクタを活用し、クラウド、オンプレミス、およびサードパーティのシステムからデータを収集します。
- AIを活用した検知と調査:機械学習とAIを活用してイベント間の相関関係を分析し、誤検知を減らし、調査を迅速化します。
- ネイティブXDR統合:拡張された検知・対応システムと連携し、セキュリティ層全体にわたる可視性と対応を統合します。
- 自動化とオーケストレーション:自動化されたワークフローと対応アクションをサポートし、セキュリティ運用の効率化と手作業の負担軽減を実現します。
脅威インテリジェンス機能:
- 脅威インテリジェンスの統合:Microsoftおよび外部ソースからの脅威インテリジェンスを取り込み、STIX/TAXIIなどの標準規格にも対応しています。
- 強化された脅威コンテキスト:脅威シグナルを分析結果やグラフベースのコンテキストと組み合わせることで、検知および調査の精度を向上させます。
- 脅威シグナルの相関分析:外部情報と内部のテレメトリデータを照合し、環境内の関連する脅威を特定します。
- AIを活用したインサイト:AIを活用して脅威インテリジェンスを強化し、アラートの優先順位付けや対応策の指針を提供します。

Source: Microsoft
3. Splunk Enterprise Security

Splunk Enterprise Securityは、ログ分析と脅威インテリジェンス、行動分析を組み合わせることで、脅威の検出、調査、対応を支援するSIEMプラットフォームです。このプラットフォームにより、組織は外部のインテリジェンスデータを取り込み、それを内部のイベントと関連付けることが可能となり、アナリストが既知の脅威を特定し、追加のコンテキスト情報を用いて調査を充実させるのに役立ちます。
一般的な特徴
- セキュリティ監視および分析:ログやイベントデータを収集・分析し、システム全体にわたる不審な活動を検知します。
- リスクベースのアラート機能:リスクスコアに基づいてアラートの優先順位を付け、最も重大な脅威に焦点を当てます。
- 調査ワークフロー:一元化されたインターフェース上で、調査結果、観測項目、および調査を管理するためのツールを提供します。
- プレイブックによる自動化:あらかじめ定義されたワークフローを通じて、自動化された対応アクションをサポートします。
- 行動分析:分析手法を用いて、脅威を示す可能性のある異常やパターンを検知します。
脅威インテリジェンス機能:
- 脅威インテリジェンスの取り込み:外部ソースからのインテリジェンスデータをプラットフォームに統合し、分析を行います。
- 脅威の相関分析:脅威インジケーターを内部のイベントデータと照合し、既知の悪意のある活動を特定します。
- 調査の充実:観測されたエンティティに脅威インテリジェンスからのコンテキストを追加することで、調査を強化します。
- 脅威インテリジェンス・フレームワーク:オンプレミス型とクラウド型の両方のシステムを活用して、インテリジェンスデータを管理・保存する。
- 複数の情報源への対応:オープンソースおよび商用脅威フィードの両方を設定可能です。

Source: Splunk
関連コンテンツ:脅威インテリジェンスツールに関するガイドをご覧ください
著名な専用脅威インテリジェンスプロバイダー
4. CrowdStrike Falcon X

CrowdStrike Falcon X は、エンドポイント保護機能に統合された脅威インテリジェンス機能であり、分析を自動化し、インテリジェンスをエンドポイントのアクティビティに直接関連付けます。マルウェア分析、インテリジェンスの充実化、および自動調査を組み合わせることで、攻撃の帰属や攻撃者の行動など、攻撃に関するコンテキストを提供し、より迅速かつ的確な対応を可能にします。
主な特徴は以下の通り:
- 脅威の自動調査:エンドポイントで検出された脅威のエンドツーエンドの分析を行い、手作業の負担と対応時間を削減します。
- 統合型エンドポイントインテリジェンス:脅威インテリジェンスをエンドポイント検知ワークフローに直接組み込み、即座にコンテキスト情報を提供します。
- カスタムインジケーターの生成:観測された脅威(関連するマルウェアやキャンペーンを含む)に基づいて、カスタマイズされたIOCを生成します。
- マルウェアの分析と情報補完:マルウェアのサンプルを分析し、大規模なデータセットから得られたインテリジェンスを用いて分析結果を補完します。
- 攻撃の背景と犯行主体:攻撃の背後にいる人物や組織、および彼らが使用するツールや手法に関する洞察を提供します。
- インテリジェンス報告:意思決定や対応計画の策定を支援するための報告書やアラートを提供します。

Source: CrowdStrike
5. Recorded Future

Recorded Futureは、オープンウェブ、ダークウェブ、技術フィード、社内テレメトリなど、さまざまな情報源からのデータを集約・分析することで、脅威インテリジェンスを提供しています。同社のプラットフォームは、インテリジェンスグラフを用いてこれらのデータをリアルタイムで関連付け・処理し、セキュリティチームが脅威間の関係性を把握し、リスクの優先順位付けを行うことを支援します。
主な特徴は以下の通り:
- リアルタイムのインテリジェンス集約:多数の外部および内部の情報源からデータを収集・処理し、脅威に関する最新の可視性を維持します。
- インテリジェンス・グラフ分析:データポイントを関連付け、分析することで、脅威、攻撃主体、および指標間の関係を特定します。
- リスクの優先順位付け:インテリジェンスと組織の状況を関連付けることで、チームが最も関連性の高い脅威に注力できるよう支援します。
- セキュリティツールとの連携:既存のシステムやワークフローと連携し、インテリジェンスの運用活用を支援します。
- 幅広いインテリジェンスの網羅性:脆弱性、攻撃対象領域、アイデンティティ、サードパーティリスクなど、複数の領域を網羅しています。
- AIを活用した知見:自動分析によりパターンを抽出し、調査と対応の迅速化を支援します。

6. Google Cloud Mandiant(旧 FireEye)

マンディアントは、実際の攻撃を調査した最前線の経験に基づいた脅威インテリジェンスとインシデント対応能力を提供しています。同社のアプローチは、専門家による分析、独自調査、運用支援を組み合わせることで、組織が攻撃者の行動を理解し、防御体制を強化できるよう支援します。同社は、脅威インテリジェンスを実践的な意思決定に結びつけ、セキュリティ運用やリスク管理に統合することに重点を置いています。
主な特徴は以下の通り:
- 最前線の脅威インテリジェンス:実際のインシデント調査に基づき、攻撃者の行動や手口を把握します。
- インシデント対応の専門知識:経験豊富なスペシャリストが、検知、封じ込め、復旧を支援します。
- カスタムインテリジェンスおよび調査:組織の環境や脅威の状況に合わせた分析を提供します。
- 専門知識の組み込み:運用支援や知識の移転を目的として、専門家を社内チームに組み込むことが可能です。
- セキュリティ評価およびテスト:攻撃者シミュレーションを用いて、防御体制の弱点を特定します。
- インテリジェンスの運用化:脅威インテリジェンスを意思決定、リスク管理、およびセキュリティ戦略に活用するのに役立ちます。

Source: Mandiant
7.MISP

MISPは、脅威インテリジェンスの収集、共有、分析を行うためのオープンソースプラットフォームです。このプラットフォームにより、組織は構造化されたインテリジェンスデータを管理し、信頼できるコミュニティと連携し、セキュリティシステム全体でのインジケーターの配信と活用を自動化することができます。
主な特徴は以下の通り:
- 一元化されたインテリジェンス管理:指標、イベント、およびコンテキストに基づく脅威データを構造化された形式で保存・整理します。
- 自動相関エンジン:複数の照合手法を用いて、指標、キャンペーン、および脅威アクター間の関連性を特定します。
- 共同利用:きめ細かなアクセス制御により、組織間の安全な情報交換をサポートします。
- 柔軟なデータモデル:文脈に応じたメタデータを用いて、単純な指標から複雑な脅威オブジェクトまでを処理します。
- 幅広い統合サポート:相互運用性を実現するため、API を提供し、STIX や OpenIOC などのフォーマットに対応しています。
- 自動化とワークフロー:データの処理、分析、配信のパイプラインを自動化します。

Source: MISP
結論
脅威インテリジェンス・プロバイダーは、多様なデータ・ソースから得られる実用的な洞察を提供することで、現代のサイバーセキュリティ戦略において重要な役割を果たしています。商用プラットフォーム、オープンソースツール、政府支援イニシアティブのいずれを通じてであれ、これらのプロバイダは、脅威を予測、検出、対応する組織の能力を強化します。監視、インシデント対応から脆弱性管理、リアルタイムアラートまで、そのサービスは継続的な脅威認識と情報に基づいた意思決定を可能にします。