脅威インテリジェンスとは

この記事は約 2 分で読めます

脅威インテリジェンスとは、サイバー攻撃に関する情報を体系的に収集・分析し、 組織の防御に活用する活動です。攻撃者の手口 (TTP: Tactics, Techniques, and Procedures)、マルウェアのハッシュ値、悪意ある IP アドレスなどの IoC (Indicator of Compromise) をSIEM やファイアウォールに反映することで、 既知の脅威を自動的にブロックできます。 2025 年現在、 生成 AI を悪用した高度なフィッシングやディープフェイク攻撃の増加に伴い、 脅威インテリジェンスの重要性はさらに高まっています。

現場での使用例

「同業他社がランサムウェア攻撃を受けた翌日、脅威インテリジェンスフィードから 攻撃に使われた C2 サーバーの IP アドレスとフィッシングメールの件名パターンを入手し、 自社のファイアウォールとメールフィルターに即座に反映しました。 結果として同じ攻撃グループからの侵入試行を事前にブロックできています。」

脅威インテリジェンスサイクル

3 つのレベル

脅威インテリジェンスは戦略的・戦術的・運用的の 3 レベルに分類されます。 戦略的インテリジェンスは経営層向けで、業界全体の脅威動向やリスク評価を提供します。 戦術的インテリジェンスは攻撃者の TTP を分析し、SOC チームの検知ルール改善に活用されます。 運用的インテリジェンスは具体的な IoC (IP アドレス、ドメイン、ファイルハッシュ) を セキュリティ機器にフィードし、リアルタイムの防御に直結します。脅威インテリジェンスの入門書 (Amazon)で体系的に学べます。

活用シナリオ

たとえば、同業他社がランサムウェア攻撃を受けた場合、 脅威インテリジェンスフィードから攻撃に使われた C2 サーバーの IP アドレスや フィッシングメールの件名パターンを入手し、自社の防御に先手を打てます。 MITRE ATT&CK フレームワークを活用して攻撃者の行動パターンを マッピングし、自社の検知カバレッジのギャップを可視化する手法も有効です。サプライチェーン攻撃の 早期警戒にも脅威インテリジェンスは欠かせません。

導入のポイント

脅威インテリジェンスは「集めるだけ」では意味がありません。 収集した情報を自社の環境に照らして優先順位を付け、 具体的なアクション (ルール追加、パッチ適用、注意喚起) に落とし込む プロセスが重要です。強力なランダムパスワードで インテリジェンスプラットフォームへのアクセスを保護し、 情報漏洩を防ぎましょう。脅威分析の書籍 (Amazon)も参考になります。