「脅威インテリジェンスの定義」
インテリジェンスは軍事関係から発展したものですので、活用分野も軍事や地政学、企業活動、サイバーセキュリティの分野まで幅広く活動が存在します。それらのうち、特にサイバーセキュリティの分野においては「脅威インテリジェンス」が有名です。
脅威インテリジェンスとは、サイバー攻撃者、攻撃手法、マルウェア、脆弱性、攻撃インフラ、標的業界などに関する情報を収集・分析し、防御や意思決定に使える形にした知識のことです。
単なるニュースや脆弱性情報ではありません。
重要なのは、集めた情報を自社や組織のリスクに結びつけて、「今、何を優先して守るべきか」を判断できる形にすることです。
たとえば、次のような情報が脅威インテリジェンスになります。
- 特定のランサムウェアグループが製造業を狙っている
- あるVPN製品の脆弱性が実際に悪用されている
- 自社ドメインに似たフィッシングサイトが作られている
- 社員の認証情報がダークウェブに流出している
- 攻撃者が使うIPアドレスやドメインが観測されている
- 特定の国のAPTが防衛・宇宙・半導体分野を狙っている
つまり、脅威インテリジェンスとは、サイバー攻撃に関する情報を「使える判断材料」に変える活動です。
情報とインテリジェンスの違い
脅威インテリジェンスを理解するうえで大切なのは、単なる「情報」と「インテリジェンス」は違うという点です。
たとえば、「新しい脆弱性が公開された」というだけではまだ情報です。
そこに以下の視点が加わると、インテリジェンスになります。
- その脆弱性は実際に悪用されているのか
- 自社はその製品を使っているのか
- 外部公開されているシステムに影響するのか
- 攻撃された場合、どの業務に影響が出るのか
- 今すぐ対応すべきか、通常のパッチ運用でよいのか
このように、脅威インテリジェンスは「知って終わり」ではなく、「判断して行動する」ための情報です。
サイバー攻撃が高度化・高速化している現在、すべての脅威に同じ優先度で対応することは現実的ではありません。だからこそ、脅威インテリジェンスを活用し、今本当に守るべき対象を見極める力が重要になっています。
