インシデント対応・フォレンジック

脅威インテリジェンス

約 4 分で読めます

最終更新: 2026-03-01

脅威インテリジェンスとは

脅威インテリジェンス (Threat Intelligence) とは、サイバー脅威に関する情報を収集・分析し、組織の意思決定に活用できる形に加工した知見です。単なる脅威情報 (Threat Data) の集積ではなく、「自組織にとって何が脅威で、どう対処すべきか」という文脈を伴った実用的な情報を指します。

脅威インテリジェンスは 3 つのレベルに分類されます。戦略的インテリジェンスは経営層向けで、脅威の全体像やリスクの傾向を示します。戦術的インテリジェンスはセキュリティ管理者向けで、攻撃者の手法 (TTP: Tactics, Techniques, and Procedures) を分析します。運用的インテリジェンスは SOC オペレーター向けで、IoC (Indicators of Compromise: 侵害の痕跡) として IP アドレス、ドメイン、ファイルハッシュなどの具体的な検知指標を提供します。

インシデントレスポンスの事前準備として、脅威インテリジェンスを活用することで、攻撃を受ける前に防御態勢を強化できます。

情報収集ソースと分析フレームワーク

脅威インテリジェンスの情報源は、公開情報 (OSINT)、商用フィード、業界共有情報、内部データの 4 つに大別されます。

OSINT (Open Source Intelligence): CVE データベース、セキュリティベンダーのブログ、マルウェア解析レポート、SNS 上の脅威情報など、公開されている情報源です。無料で利用できますが、情報の信頼性評価が必要です。

商用脅威インテリジェンスフィード: セキュリティベンダーが提供する有料の脅威情報サービスです。IoC の自動配信、攻撃者プロファイル、業界別の脅威レポートなどが含まれます。

業界共有情報: ISAC (Information Sharing and Analysis Center) や CSIRT コミュニティを通じて、同業他社と脅威情報を共有します。STIX/TAXII 形式での自動共有が標準化されています。

分析フレームワークとして、MITRE ATT&CK が広く活用されています。ATT&CK は攻撃者の戦術と技術を体系的に分類したナレッジベースで、自組織の防御カバレッジのギャップ分析や、SIEM の検知ルール設計に活用できます。

脅威インテリジェンスの実践的な活用

脅威インテリジェンスを「集めるだけ」で終わらせず、組織の防御に実際に活用するための実践的なアプローチを紹介します。

IoC の自動適用: 脅威インテリジェンスフィードから取得した悪性 IP アドレス、ドメイン、ファイルハッシュを、ファイアウォール、IDS/IPS、SIEM に自動的に反映します。STIX/TAXII プロトコルを使えば、収集から適用までを自動化できます。

脅威ハンティング: 既知の IoC だけでなく、ATT&CK の TTP に基づいて、自組織のログやネットワークトラフィックの中から未検知の脅威を能動的に探索します。SIEM のクエリ機能や EDR のハンティング機能を活用します。

脆弱性管理との連携: 脅威インテリジェンスで「実際に悪用されている脆弱性」を把握し、パッチ適用の優先順位付けに活用します。CVSS スコアだけでなく、実際の悪用状況 (Exploit in the Wild) を考慮することで、限られたリソースを最もリスクの高い脆弱性に集中できます。

経営層への報告: 戦略的インテリジェンスとして、自組織が属する業界を標的とする攻撃グループの動向、攻撃手法のトレンド、リスクの変化を定期的に経営層に報告します。

脅威インテリジェンスプログラムの構築

組織に脅威インテリジェンスプログラムを導入する際の段階的なアプローチです。

フェーズ 1: 要件定義 - 自組織にとっての脅威は何か、どのような情報が必要かを定義します。業種、保有する資産、過去のインシデント履歴から、優先的に監視すべき脅威を特定します。

フェーズ 2: 情報収集基盤の構築 - OSINT ツール、商用フィード、業界 ISAC への参加など、情報収集チャネルを整備します。TIP (Threat Intelligence Platform) を導入し、複数ソースからの情報を一元管理します。

フェーズ 3: 分析と配信 - 収集した情報を分析し、自組織に関連する脅威を抽出します。分析結果を SOC、CSIRT、経営層など、受け手に応じた形式で配信します。

フェーズ 4: フィードバックと改善 - インテリジェンスが実際の防御にどう貢献したかを評価し、収集・分析プロセスを継続的に改善します。ゼロデイ攻撃のような新たな脅威に対応するため、情報源と分析手法を定期的に見直してください。

よくある誤解

脅威インテリジェンスは IoC (IP アドレスやハッシュ値) のリストのこと
IoC は脅威インテリジェンスの一部にすぎません。真の脅威インテリジェンスは、攻撃者の動機、能力、手法 (TTP) を分析し、自組織にとっての具体的なリスクと対策を示す文脈を伴った知見です。IoC だけでは攻撃者が手法を変えた瞬間に無効化されます。
脅威インテリジェンスは高額な商用サービスを契約しないと利用できない
OSINT (CVE データベース、セキュリティベンダーのブログ、MITRE ATT&CK、AlienVault OTX など) だけでも有用な脅威インテリジェンスを構築できます。商用サービスは情報の網羅性と自動化で優れますが、まずは無料の情報源から始めて段階的に拡充するアプローチが現実的です。

関連用語

SIEM (セキュリティ情報イベント管理) ネットワーク機器、サーバー、アプリケーションなど多様なソースからログを収集・統合し、セキュリティイベントをリアルタイムに分析・相関付けするプラットフォーム。異常… 脆弱性管理 システムやソフトウェアに存在する脆弱性を継続的に発見・評価・修正するプロセス。CVE (Common Vulnerabilities and Exposures… インシデントレスポンス セキュリティインシデント (不正アクセス、データ漏洩、マルウェア感染など) が発生した際に、被害の拡大を防止し、原因を特定し、復旧するための体系的な対応プロセス… CSIRT (シーサート) Computer Security Incident Response Team の略称で、組織内のセキュリティインシデントに対応する専門チーム。インシデントの… ゼロデイ攻撃 ソフトウェアの脆弱性が公表される前、または修正パッチが提供される前に、その脆弱性を悪用する攻撃。開発者が対策を講じる猶予がゼロ日 (zero day) であるこ…

関連記事

サプライチェーン攻撃とは:信頼の連鎖を突く新たな脅威 ソフトウェアのサプライチェーンを狙った攻撃の仕組み、実際の事例、そして個人・組織レベルでの防御策を解説します。… フィッシング詐欺の見分け方:騙されないための実践チェックリスト 巧妙化するフィッシング詐欺の最新手口と、偽サイト・偽メールを見抜くための具体的なチェックポイントを解説します。…
← 用語集