[Security NEXT Special PR]

【特別企画】使える「脅威インテリジェンス」とは - 単なる情報ソースで終わらせないために

発見した脅威に対して何らかのアクションをプラットフォーム上で取ることができるのかも差別化のポイント。APIによる他セキュリティソリューションとの連携、「テイクダウン」サービスの有無といった付加サービスもチェックしておくとよいだろう。

「脅威インテリジェンス」を導入する場合、「投資対効果（ROI）」をどのように捉えるかは、難しい問題だ。企業への侵入やフィッシングのような攻撃が行われることによって、業務が停止したりブランドや顧客の信頼を毀損するケースもあるが、未然に抑えるためのコストをいかに評価するか。

攻撃者は闇夜にまぎれ、できるだけ気が付かれないよう活動し、攻撃を展開する。「脅威インテリジェンス」は、暗闇に隠れる攻撃をあぶり出す「暗視ゴーグル」の性能が問われているとも言える。どこまで危険を見渡せ、事前の対策ができるかが評価の鍵になる。

ROIを具体的に検討するためにも、「偽陽性率」を抑えるための情報の正確性、運用上の負荷、「テイクダウン」や「脆弱性の把握」に要する時間といった比較項目を事前に用意しておき、実際にサービスの「PoC」を実施して、自組織とのマッチングや得られる効果を実際に確認し、KPIを設定しておきたい。

自動「テイクダウン」をどうやって実現しているのか

今回インタビューに応えた「Axur」が、TwoFiveと協力して提供する脅威インテリジェンスサービス「PHISHNET/25 Axur」は、7000以上のダークウェブを追跡するなどカバレッジの大きさに加え、プラットフォーム上から「テイクダウン」の依頼が可能となっていることが大きな特徴となっている。

プラットフォーマーとのAPI連携により、年間50万件以上のテイクダウンを実施。不正なコンテンツの排除までの中央値は9時間、テイクダウンの成功率は98.9％をアピールしている。

一般にテイクダウンにはかなりの時間を要するイメージもあるが、さまざまなプラットフォーム上の脅威情報を排除したりサイトのテイクダウンを行う時間を、同社はどのようにして短縮しているのだろうか。

同社が事前に大手プラットフォーマーと同意を取り付けていることも背景にあるが、同氏によれば「単なる同意だけでは早期のテイクダウンを実現できない」と話す。

というのも、「不正サイト」などの対応方針はサービスやプロバイダによって異なり、提出を求める情報もそれぞれ異なるからだ。同社では報告先ごとに異なる提出情報のノウハウを蓄積。それぞれに最適な情報をAIによって自動で生成、提出することにより時間短縮を実現しているという。

だが「防弾ホスティングサービス」のように、外部からのテイクダウンへの協力要請を一切聞き入れないケースもある。当然、サービス上のコンテンツを排除することは難しくなるが、こうした場合にはブラウザレベルの保護で対応している。

具体的にはセーフブラウジングを推進するグローバル規模の連携組織などへ報告することにより、「Firefox」「Chrome」をはじめとする主要ブラウザでアクセスした際に遮断されるよう対策を講じ、ユーザーが脅威にさらされないようリスクの低減を図っているという。

同氏は、導入事例としてフィッシングサイトの検知数が約9倍となる一方、ワークフローや判定の自動化を組み合わせることで、必要とされるリソースが従来の約40％に低下したケースもあったと説明。いかに問題の把握から、リスクの排除までの負担を減らせるかがポイントになると語る。

日本国内においては、パートナーとしてTwoFiveと連携。自動化で対応できないきめ細かい部分についても、TwoFiveが協力し、テイクダウンに向けた対応なども行っていく方針だ。

同氏は、「おもてなし」の精神で顧客との信頼性を築くことを大切にしているとも述べ、サービスの効果を実感してもらった上で、長く利用してもらいたいと話す。「すぐにサービスを導入するのではなく、サイドバイサイドでPoCを実施して他社サービスとも十分比較し、ぜひ効果を体験した上で導入を検討してもらえれば嬉しい」と語った。

（提供：TwoFive - 2025/07/14 ）ツイート

[Security NEXT Special PR]

【特別企画】使える「脅威インテリジェンス」とは - 単なる情報ソースで終わらせないために

自動「テイクダウン」をどうやって実現しているのか

関連リンク

PR

関連記事