このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
サイバーセキュリティ業界は長年、「データのグラビティ」問題に悩まされてきました。セキュリティチームは、何十億行ものテレメトリデータに埋もれていますが、それでも実用的なインサイトが得られていません。
脅威インテリジェンスプラットフォーム(TIP)は、既知および新規のサイバー脅威に関するデータを収集、集約、整理する中央集中型セキュリティシステムです。生のテレメトリと能動的な防御の間の重要な結合組織として機能します。
Cloudflareの脅威インテリジェンスプラットフォームは、その基盤を成すアーキテクチャを採用しており、他のソリューションと一線を画しています。私たちは、シャードされたSQLiteベースのアーキテクチャを使用することで、複雑なETL(抽出、変換、読み込み)パイプラインの必要性を排除するために、脅威インテリジェンスプラットフォームを進化させました。GraphQLをエッジ上で直接実行することで、セキュリティチームは脅威の対応をリアルタイムで可視化し、自動化することができるようになりました。脅威イベントは、1つの巨大なデータベースではなく、何千もの論理的なシャードに分散します。つまり、グローバルなデータセット全体で数百万のイベントを集約する場合でも、クエリの遅延は1秒未満です。
当社のインテリジェンスプラットフォームは、グローバルなテレメトリとアナリストによる手動による調査を統合することで、セキュリティチームが脅威を観察するだけでなく、Cloudflareネットワーク全体で先制的にブロックすることができる単一の情報源を構築します。私たちは、インテリジェンスプラットフォームが、何かが「悪い」ものであることを単に報告すべきではないと考えています。なぜそのようなことが起こっているのか、その背後にいるのは誰か、そして自動的に再発防止を進めなければなりません。
この記事では、Cloudforce One体験を強力かつ効果的なものにする機能のいくつかを紹介します。
2022年にCloudforce Oneチームを発表したとき、敵対的インフラストラクチャを追跡するには、まだ存在していなかったツールが必要であるとすぐに気づきました。そこで当社独自のものを作りました。
社内プロジェクトとして始まった脅威インテリジェンスプラットフォームは、ユーザー向けに設計されたクラウドファーストでエージェンティック対応の脅威インテリジェンスプラットフォーム(TIP)に進化しました。さまざまなデータセットにわたる「観測可能な」イベントの概念化から、脅威のライフサイクル全体をマッピングするプラットフォーム構築へと移行しました。現在、Cloudflare TIPでは、アクターとマルウェアを関連付け、ケースとインジケーターを関連付け、すべてを単一の統合エコシステムに保存することができます。
単純なデータアクセスから脱却し、完全に統合された視覚的な自動コマンドセンターをSOCに提供します。このTIPを構築する動機は、効果的な脅威インテリジェンスの基本理念である関連性、正確性、実行可能性から生じています。複数のデータセットを統合し、マルチテナントをサポートし、グループベースやテナント間の共有を可能にし、エッジで効率的に拡張できる、拡張性の高いシステムが必要でした。
Cloudflare Workersを使用して、迅速なイノベーションを保証する次世代開発者スタックを構築しました。当社は、数百万の脅威イベントをリアルタイムのグラフや図に統合し、重要な質問「何が起こったのか」に即座に答えることができるようになりました。これは何を意味するのでしょうか?
当社のGraphQLエンドポイントは、脅威イベントプラットフォームを稼働しているのと同じWorker内に構築されているため、データは常にライブであり、取り込まれてから可用性までに遅延が発生することはありません。複雑な分析を適用する場合も、特定のイベントを掘り下げる場合も、プラットフォームは即座に対応します。Workersランタイムが進化するのに伴い、TIPはこれらの最適化を自動的に引き継ぎます。例えば、Smart Placementは、クエリーを処理するWorkersが、ファンアウトしているDurable Objectsの近くに物理的に位置していることを保証し、テール遅延を最小限に抑えます。また、より大きなCPU制限とHyperdriveを使用できるため、単一のデータセンターにロジックをバックホールするのではなく、エッジで直接、より高いパフォーマンスの接続プーリングを維持することができます。
SIEMを超えて:履歴コンテキストとインテリジェンスの強化
SIEM(セキュリティ情報およびイベント管理)は、リアルタイムでログを集約し、即時アラートを発するために設計されていますが、多くの場合、敵対者を深く追跡するために必要な特殊なスキーマと長期的な保持機能が欠けています。当社のTIPは、過去のアクターパターンで未加工ログを充実させる専用のインテリジェンスレイヤーとして機能し、このギャップを埋めます。当社のプラットフォームの目標は、SIEMを置き換えることではなく、SIEMを補完することです。当社のTIPは、脅威イベントのための長期的、構造化されたストレージを提供します。エッジで保持され、インデックス付けされます。これは、技術的なテレメトリと経営陣のインサイトのギャップを埋めるために必要な機能です。
Cloudflare Managed Defenseと脅威インテリジェンスプラットフォームは、共生ループで動作するように設計されており、脅威検出と対応に強力なフォースマルチプライヤーを作り出します。TIPをSOCと直接統合することで、アナリストはアラートやイベントに関する瞬時の豊富なコンテキストを得ることができます。SOCチームは、異常なIPアドレスや不審なファイルハッシュを見るだけでなく、その履歴、既知の脅威アクターとの関連性、幅広いキャンペーンでの役割、TIPの分析によって判定されたリスクスコアを瞬時に確認することができます。この直接的コンテキストにより、時間のかかる手作業による調査が排除され、より迅速かつ正確な意思決定が可能になります。
逆に、インテルアナリストチームがインシデントを調査し、新しい脅威を探すと、その調査結果は新しいインテリジェンスの重要な情報源となります。
新たに発見された侵害インジケーター(IOC)はTIPにフィードバックされ、すべてのユーザーのためのプラットフォームを豊かにし、自動化された防御を強化します。この継続的なフィードバックループにより、インテリジェンスは常に最新で、現実世界の観察に基づいたものとなります。脅威状況に比類ない可視性が得られるため、セキュリティチームは事後対応型から事前対応型の防御体制へ移行することができます。
Cloudforce Oneのテレメトリのすべてが実用的であることを確認するためには、ストレージに関する基本的な問題を解決する必要がありました。従来の中央集中型データベースのオーバーヘッドなしに、数十億ものイベントにわたる低遅延で複雑なクエリーを提供するにはどうすればよいでしょうか?
私たちは、SQLiteをサポートするDurable Objectsを基盤とするシャードアーキテクチャを選択しました。この高カーディナリティのストレージユニット全体に脅威イベントを分散させることで、大量の取り込み時に単一のデータベースが競合状態になることを防ぎます。各シャードはDurable Objectであり、独自のプライベートSQLiteデータベースに一貫したトランザクションインターフェイスを提供します。
このアーキテクチャによって、Cloudflareの開発者スタック全体を使用することができます。当社はCloudflare Queuesを使って、受信テレメトリを非同期に取り込んで配信するため、大量の攻撃急増があっても当社の書き込みスループットが飽和しないようにしています。一度取り込まれたデータはR2に保存され長期にわたって保持されますが、「ホット」インデックスはDurable ObjectのSQLiteストレージに残り、即時取得が可能です。
このアプローチの真の有効性は、検索中に表れます。ユーザーがGraphQLエンドポイント(Worker内でも実行)にクエリを実行する場合、プラットフォームは単一のテーブルをクエリしません。そうする代わりに、複数のDurable Objectに並行してリクエストを送信します。Durable Objectsは当社のグローバルネットワーク全体に分散されているため、最小限の遅延で結果を集計できます。ユーザーの権限を確認し、当社のイベント(日付単位)を含まないシャードを削除した後、Workerがマルチシャードファンアウトをどのように処理するかを簡略に示します。
// A conceptual look at fanning out a query to multiple shards
async function fetchFromShards(shards, query) {
const promises = shards.map(shardId => {
const stub = TELEMETRY_DO.get(shardId);
return stub.querySQLite(query); // Calling the DO's storage method
});
// Parallel execution across the Cloudflare network
const results = await Promise.all(promises);
return results.flat();
}
この並列性により、1つのデータセットの1年間の履歴を監査する場合も、アカウント内のすべてのデータセットの1月のアクティビティを統合する場合も、流動的な体験が可能になります。コンピューティング(SQLの実行)をデータがある場所に移動することで、単一のモノリシックデータベースのボトルネックを排除します。
スプレッドシート上の数字だけでは、ストーリーは解決しません。ことです。脅威の状況を「見る」ため、動的な視覚化を導入しました。
IPアドレスのような単一のインジケーターは、履歴や関係のコンテキストがなければ、限定的な用途をもたらします。脅威インサイトは、複数のデータセットにわたる異なる脅威イベントを、単一のまとまりのあるキャンペーンやエクスプロイトに関連付けることができるよう、脅威インサイトを構成しました。
手動で相互参照する代わりに、プラットフォームは、内部アクターの命名を認識される業界のエイリアスに自動的にマッピングします。たとえば、内部トラッキングを「Fancy Bear」や「APT28」とリンクするなどです。これにより、ローカル環境のテレメトリを、より広範なグローバル調査や脅威インテリジェンスフィードと即座に相互運用できるようになります。
保存された設定とリアルタイム通知により、テレメトリがカスタムフィルターに一致した瞬間に通知が届き、エッジの速さで対応することができます。効果的な脅威ハンティングには、特定の技術属性でグローバルなテレメトリをフィルタリングする機能が必要です。このプラットフォームは、IPアドレス、ファイルハッシュ、ドメイン、JA3フィンガープリントを含むデータセット全体にわたる高カーディナリティ検索をサポートしており、通常は数秒で結果が返されます。
手動での検索を超えるために、これらのクエリーパラメータを保存された設定として保持することができます。これらの設定は、リアルタイム通知エンジンのトリガーとして機能します。新しい受信テレメトリが定義されたフィルターと一致すると、プラットフォームは設定されたエンドポイントにアラートをプッシュします。プルベースの検索からプッシュベースのアラートへの移行により、お客様のセキュリティスタックは、当社のグローバルネットワークに取り込まれたと同時に一致に対応できるようになります。
インテリジェンスは、その結果として攻撃対象領域が縮小する場合にのみ「実用的」です。生のテレメトリとセキュリティ適用間の翻訳を自動的に処理するために、TIPを構築しました。
サードパーティまたは社内のSIEMまたはSOARプラットフォームを使用している組織にとって、相互運用性は要件です。しかし、異なる内部データスキーマをSTIX2(Structured Threat Information eXpression)標準にマッピングするのは、従来、高遅延のETLタスクでした。この翻訳はエッジに移動しました。
ユーザーがSTIX2エクスポートを要求すると、Workerは内部SQLiteレコードをSTIX2 JSONスキーマに動的にマッピングします。つまり、まず未加工のIPアドレス、ファイルハッシュ、ドメイン名を、標準化されたSTIXサイバー観測可能データに変換するということです。次に、当社プラットフォームの内部マッピングを使用して関係オブジェクトを定義し、インジケーターオブジェクトを脅威アクターまたはマルウェアオブジェクトに紐づけ、調査のコンテキストを保持します。最後に、UTCで変更および作成されたタイムスタンプを自動的に管理し、ダウンストリームツールが脅威の進化を追跡できるようにします。
このプラットフォームは、エクスポートだけでなく、発見と防御間のループを閉じることもできます。サンキーダイアグラムや特定のアクターキャンペーンで悪意あるパターンを特定すると、ワンクリックでセキュリティルールを生成できます。
内部では、TIPはCloudflare ファイアウォール Rules APIと直接対話します。フィルタリングされた調査の属性(例:特定のJA3フィンガープリントと既知の悪意のあるASNのリストの組み合わせ)を持ち込んで、当社のグローバルネットワーク全体で数秒でデプロイされるワイヤープロトコルルールにコンパイルします。
テレメトリの大部分は自動化が処理しますが、最も複雑な脅威には人間の直感が必要です。プラットフォームに情報提供依頼(RFI)ポータルを直接統合し、ユーザーがCloudforce Oneのアナリストに詳細な調査を依頼できるようにしました。
技術的な観点から見ると、RFIシステムは単なるチケットポータルではありません。データエンリッチメントパイプラインです。サブスクライバーが多くの「トークン」を使用してリクエストを開始すると、ワークフローは一連のイベントをトリガーします。
RFI Workerは、シャードされたSQLiteストレージからクエリに関連する特定の脅威イベントIDを引き出し、アナリストのために関連するテレメトリをパッケージ化します。
Cloudforce Oneのアナリストは、TIPの内部版を使用して、グローバルデータセットのリバースエンジニアリングやピボットを行います
調査が完了すると、調査結果(新しいIOC、アクターの属性、キャンペーンメモ)がグローバルインテリジェンスフィードに書き込まれます。
これにより、「人間」によるインサイトがPDFレポートだけでなく、その代わり、結果として得られるメタデータは、関連する場合は脅威イベントとしてエッジにプッシュバックされ、そこでWAFまたは設定済みのファイアウォールルールで使用することができます。当社は、静的な「レポート」モデルから動的な「コードとしてのインテル」モデルに移行しました。このモデルでは、人間の分析がプラットフォームの自動検出ロジックをリアルタイムで直接改善します。
ETLパイプラインの管理から積極的な脅威ハンティングへの移行は、新しいインターフェースだけでなく、コンピューティングがどこで行われるかについても重要です。ストレージ、集約、可視化のレイヤーをCloudflareグローバルネットワークに移動することで、通常はSOCの速度を低下させる「データの重み」を排除しました。防御者は、ログが中央リポジトリに同期されるのを待つことなく、「このIPは既知のキャンペーンに関連しているか?」と尋ねることができます。その答えは、トラフィックがフィルタリングされているのと同じ環境のエッジで利用できるようになっています。
チームの規模や特定の要件に関係なく、このインテリジェンスにアクセスできるようにするため、Cloudforce Oneのアクセスを3つの機能レベルに分けました。
Cloudforce One Essentialsは、脅威イベントのデフォルトのデータセットにアクセスし、指標を検索し、脅威ハンティング調査を行うことができます。
Cloudforce One Advantageにより、お客様は情報提供依頼を通じて脅威インテリジェンスアナリストのカスタムインサイトにアクセスできます。
Cloudforce One Eliteは、ブランド保護、多数の情報要求、すべての脅威イベントデータセットへのアクセスを含む完全なパッケージです。
インターネットの動きは速く、敵対者が使用するインフラの動きも高速化しています。テレメトリと応答ロジックを単一の統合プラットフォームで一元化することで、パイプラインの構築をやめてネットワークの防御を始めることができます。
[2026年脅威状況レポート] [脅威インテリジェンスプラットフォームの詳細] | [デモのご依頼]