期間限定無料公開中

　Team Cymruは4月17日(フロリダ州レイクメアリー)、脅威フィードの概念、対象範囲、そしてセキュリティチームがそれをどのように活用できるかを再定義する統合脅威インテリジェンスフレームワーク、Total Insights Feeds（TIF）を発表した。

　Team Cymruは「これは当社の既存フィード ポートフォリオの段階的なアップデートではない。これらのフィードが定義づけてきたカテゴリーからの構造的な転換だ」としている。

　脅威インテリジェンスフィードは20年以上にわたり、「既知の悪質なインフラストラクチャのリストを作成し、配信し、防御側が対応できるようにする」という共通の前提に基づいて運用されてきた。Team Cymruは「このモデルはもはや現実を反映していない。攻撃者は今や、インフラストラクチャを機械的なスピードで切り替え、数千万ものIPアドレスを駆使し、従来のレピュテーション フィードでは到底追跡できない規模でドメインを武器化している。指標リストだけではもはや不十分であり、根本的に新しいアプローチが喫緊の課題となっている」と指摘する。

　Total Insights Feedは、その新しいモデルとなる。このプラットフォームは、一日当たり5,700万以上のIPアドレスとCIDRを0～100の加重リスクスコアで評価し、フィッシング、DGAインフラストラクチャ、悪意のあるホスティングなど4億以上のドメインを分析する。さらに、マルウェアファミリー、C2フレームワーク、ボットネット構成、アトリビューション、キルチェーン段階など、2,000を超えるコンテキスト属性で各指標を強化する。Team Cymruは「このインテリジェンスは構造化された形式で提供されるため、セキュリティオペレーションセンターは自動的に対応でき、手動によるトリアージへの依存を排除できる」と説明している。

　Team Cymruの検出・分析担当ヴァイスプレジデントであるJosh Picolet氏は「指標リストの時代は終わった」とし、「コンテキストのないカバレッジはノイズであり、カバレッジのないコンテキストは盲点を生み出す。Total Insights Feedは、インターネット全体にわたって、この両方を単一の統合ソリューションで提供し、セキュリティチームは機械的なスピードで対応できる」とコメントを出している。

　この変革の必要性は、カバレッジとコンテキストの両方における根本的な破綻によってもたらされている。現代の攻撃者は数時間以内にインフラを構築・放棄し、コマンド＆コントロールネットワークは数百万のIPアドレスにまたがり、フィッシング キャンペーンは数億のドメインで展開される。数十万もの指標を追跡する高精度なフィードでさえ、アクティブな脅威の大部分を見逃してしまう。同時に、二値的な悪意のある分類では、対応策を決定するために必要なコンテキストを提供できない。今日の規模と速度では、人間による分析では追いつけず、検出と対応の間のギャップが拡大している。Total Insights Feedは、これら両方のギャップを同時に埋めるように設計されている。

　以下の主要機能は、Team Cymruが700社以上のISPおよび通信事業者を網羅するグローバルネットワーク可視性によって支えられている。

表面カバレッジ：5,700万以上のIPアドレスとCIDRを毎日評価し、リスクスコアを算出。ルーティング可能なインターネット全体を網羅し、特定のサンプルに限定しない。

機械によるスコアリング：減衰モデルを用いた0～100の加重リスクスコアにより、アナリストによるレビューなしで、設定可能な閾値に基づいた自動ブロックポリシーを実現する。

ドメインインテリジェンス：1日あたり4億件のドメインを評価。そのうち350万件が悪意とタグ付けされている。これにはフィッシングインフラ、アルゴリズム生成ドメイン、悪意のあるホスティングなどが含まれる。

詳細なコンテキストタグ付け：マルウェアファミリー、ボットネット、C2フレームワーク、スキャナー、匿名化インフラ、ホスティング分類など、指標ごとに2,000以上のコンテキストタグを付与している。

リアルタイム分析とアクター特定：利用可能な場合は、アクター名とキャンペーンの関連付け、MITRE ATT&CKマッピング、キルチェーン段階、最初と最後の観測値（First and Last Observation）、外部インテリジェンス参照を提供する。

統合アーキテクチャ：SIEM、SOAR、XDR、TIPプラットフォームに対応した単一のJSONスキーマで、1つに統合している。導入初日から運用可能。カスタム解析は不要。

　Total Insights Feedは、相互接続された3つのインテリジェンス レイヤに基づいて構築されており、単一のデータストリームに収束することで、従来の収集方法では得られなかったレベルのテレメトリとカバレッジを実現する。レガシーフィードから移行する組織は、業務に不可欠な高精度データを維持しながら、より広範なカバレッジ、豊富なコンテキスト、リアルタイム分析を実現できる。Total Insights Feedは、IPおよびドメインの評判に関するリスクスコアリング層、詳細なコンテキスト インテリジェンスのためのタグおよび分析層、そしてすべての機能を単一のストリームに統合し、断片化されたフィードアーキテクチャを単一の機械対応データソースに置き換える完全層など、階層化された構成で提供される。

編集部備考

■AI時代に向けて通信インフラの高度化が進む中で、広帯域化や低遅延化といった進化は、産業や社会に大きな価値をもたらす一方で、サイバー攻撃の高度化をも同時に招くという「構造のジレンマ」を内包している。
　まず広帯域化の進展は、攻撃のスケールと速度の両面で影響を及ぼす。従来、大規模なDDoS攻撃には多数のボットネットが必要とされてきたが、近年ではクラウドインフラの悪用やリフレクション技術と組み合わせることで、比較的少数のリソースでも高い攻撃効果を発揮するケースが増えている。また、DNSやNTPなどを悪用した増幅攻撃は、ネットワーク帯域の拡大に伴いピーク到達までの時間が短縮され、防御側が検知・制御を行う前に大きな影響が発生するリスクを高めている。すなわち、帯域の進化は「量の拡大」にとどまらず、攻防の時間軸そのものを圧縮する方向に作用している。
　一方、低遅延化は攻撃の「質」を変化させる可能性がある。近年観測されている短時間・高強度のバースト型攻撃は、従来の閾値ベースの監視では検知が難しく、わずかな時間の隙を突いて影響を与える。また、攻撃者側にAIが組み込まれることで、防御側の挙動をリアルタイムで学習し、攻撃手法を動的に切り替えるといった適応型攻撃への進化も現実味を帯びてきた。低遅延ネットワークは本来、産業用途における即時性を支える基盤であるが、その特性が攻撃側にも同様に利用される点は見過ごせない。

　こうした状況を背景に、サイバーセキュリティの在り方そのものも構造的な転換を迫られている。従来の脅威インテリジェンスは、IPアドレスやシグネチャといった「点」の情報を共有するモデルが中心であった。しかし現在は、それらがどのネットワークで、どのような挙動として観測されているのかというコンテキストを伴った「行動可能な情報」へと価値の重心が移りつつある。通信事業者はこの変化の中で、「接続」の提供だけでなく、安全性とインテリジェンスを内包した「神経網」としての役割も担うことが求められている。
　もっとも、この進化は容易ではない。広帯域化や低遅延化への設備投資だけでも巨額の資本を要する中で、セキュリティ強化を同時に進めることは「投資のジレンマ」を生む。この難題に対し、通信事業者は複数のマネタイズ戦略を模索している。
　一つ目は、セキュリティをインフラに組み込んだ「クリーンなパイプ」としての提供でだ。ゼロトラスト環境やAIベースの脅威検知を回線サービスと一体化し、付加価値として提供することでARPU向上を狙う。ただしこの場合、どこまでのセキュリティを保証するのかという責任分界点の設計が新たな論点となる。
　二つ目は、「AI for AI」による運用効率化だ。AIを活用したトラフィック最適化や障害検知、自律的なネットワーク制御により、運用コストの削減と品質向上を同時に実現する動きが進む。ただし完全自動化には至っておらず、人間との協調を前提とした段階的な高度化が現実的な道筋となる。
　三つ目は、データの収益化だ。通信事業者はネットワーク全体を俯瞰できる立場にあり、攻撃の兆候をいち早く捉えることができる。この強みを生かし、トラフィックデータを匿名化・分析した脅威インテリジェンスとして提供することで、新たな収益源とする試みが進む。ただしこの領域では、プライバシー保護やデータの取り扱いに関する制度・倫理との整合が不可欠となる。

　5G-Advancedや産業分野におけるAI活用の進展は、通信事業者に新たな成長機会をもたらすと同時に、その基盤を支えるための投資回収という課題も突き付けている。サイバー攻撃の高度化は、通信事業者に「帯域を売るビジネス」から「信頼を売るビジネス」への転換を迫る圧力そのものである。通信事業者がこの変化にどう向き合うかは、今後の競争力のみならず、デジタル社会全体の持続性を左右する重要な分水嶺となるだろう。

(OPTCOM編集部)