サイバーセキュリティにおける脅威インテリジェンスは、単なるニュースやIoC一覧ではありません。攻撃者が「誰で」「何を狙い」「どう攻撃し」「自社は何を優先して守るべきか」を判断するための知識です。近年は、AI、クラウド、SaaS、サプライチェーン、認証情報漏えいなど攻撃面が広がっており、インテリジェンスも経営からSOCの検知まで幅広く使われるようになっています。
戦略的脅威インテリジェンス(Strategic Threat Intelligence)
戦略的脅威インテリジェンスは、経営層、CISO、事業責任者向けの大局的な情報です。
対象は、特定のIPアドレスやマルウェアではなく、
「どの国・攻撃者・犯罪組織が、どの業界を、なぜ狙っているのか」
「今後どの領域にセキュリティ投資すべきか」
といった長期的な判断材料です。
主な利用者: 経営層、CISO、リスク管理部門
目的: 投資判断、事業リスク評価、中長期の防御戦略
例: 地政学リスク、業界別攻撃傾向、国家支援型攻撃者の狙い
戦術的脅威インテリジェンス(Tactical Threat Intelligence)
戦術的脅威インテリジェンスは、攻撃者が使用している攻撃手法(TTP:Tactics, Techniques and Procedures)を理解するための情報です。
簡単に言えば、
「攻撃者はどのような手口で侵入するのか」
「侵入後にどう横展開するのか」
「どのログや挙動を見れば検知できるのか」
を整理するものです。
主な利用者: SOC、CSIRT、セキュリティエンジニア、診断担当
目的: 検知ルール作成、ハンティング、診断観点の強化
例: フィッシング手口、権限昇格手法、横展開、認証情報窃取、MITRE ATT&CKの技術ID
技術的脅威インテリジェンス(Technical Threat Intelligence)
技術的脅威インテリジェンスは、最も具体的で、検知・遮断に直結しやすい情報です。
代表例は、悪性IPアドレス、ドメイン、URL、ファイルハッシュ、マルウェアのシグネチャ、YARAルール、Sigmaルール、C2通信の特徴などです。
これは即効性が高い一方で、寿命が短いのが特徴です。攻撃者はIPやドメインをすぐ変更できるため、技術的脅威インテリジェンスだけに頼ると、最新のTTPやIoCなどが含まれるため、変化が速くすぐに陳腐化します。
主な利用者: SOC、SIEM運用者、EDR運用者、ネットワーク担当
目的: 検知、遮断、アラート調査、ブラックリスト登録
例: IOC、ハッシュ値、悪性ドメイン、C2サーバ、IDS/IPSシグネチャ
運用脅威インテリジェンス(Operational Threat Intelligence)
運用脅威インテリジェンスは、現在進行中、または近いうちに起こり得る攻撃キャンペーンを理解するための情報です。
戦略的インテリジェンスより具体的で、技術的インテリジェンスより文脈があります。
たとえば、
「特定の攻撃グループが日本企業を狙っている」
「VPN機器の脆弱性を悪用するキャンペーンが観測されている」
「このランサムウェアグループは医療・製造業を優先している」
といった情報です。
主な利用者: CSIRT、SOC、インシデント対応チーム、脆弱性管理担当
目的: 優先対応、パッチ適用判断、監視強化、攻撃キャンペーンへの備え
例: 攻撃キャンペーン、標的業界、攻撃者の目的、悪用中の脆弱性
戦略・戦術・技術・運用をつなげて初めて「使える情報」になる
脅威インテリジェンスは、4つを別々に覚えるよりも、意思決定の階層として理解すると分かりやすいです。
| 日本語 | 対象 |
|---|---|
| 戦略的脅威インテリジェンス | 経営層・CISO・セキュリティ担当マネージャー |
| 戦術的脅威インテリジェンス | 技術的詳細を理解したアーキテクト・上級管理者・上位層(意思決定層) |
| 技術的脅威インテリジェンス | 技術的詳細を理解したアーキテクト・管理者・技術的実装を行うエンジニア層 |
| 運用脅威インテリジェンス | 技術者・管理者・日々の運用を行うサポートエンジニア層 |
これからのセキュリティでは、IoCを集めるだけでは足りません。
重要なのは「その情報が自社にとって何を意味するのか」を判断することです。
つまり、脅威インテリジェンスの本質は、情報収集ではなく、
経営判断、優先順位付け、診断観点、検知ルール、インシデント対応へ落とし込むことにあります。
