セキュリティインテリジェンスとは？脅威情報を活かす防御戦略

セキュリティインテリジェンスとは？ざっくりと3行で

サイバー攻撃の手口・攻撃者グループ・脆弱性に関する情報を収集・分析し、自組織の防御に活かすための脅威インテリジェンスの総体のこと
攻撃が来てから対応する受け身のセキュリティから、攻撃者の動向を先読みして事前に手を打つ能動的なセキュリティへの転換を支える取り組みだ
脅威インテリジェンスをログ分析基盤に統合するSIEM（Security Information and Event Management）との組み合わせで、インシデントの早期検知・対応の自動化が実現できる

【深掘り】これだけ知ってればOK！
よくある誤解
1. セキュリティインテリジェンス＝ウイルス定義ファイルのアップデートという誤解
2. セキュリティインテリジェンスは大企業だけのものという誤解
会話での使われ方
【まとめ】3つのポイント
よくある質問
この用語と一緒に知っておきたい用語
【出典】参考URL

【深掘り】これだけ知ってればOK！

セキュリティインテリジェンスの代表的な種類として、戦術的インテリジェンス（マルウェアのハッシュ値・攻撃元IPアドレスなど即座に使えるIOC情報）・作戦的インテリジェンス（攻撃キャンペーンの手法・TTPs）・戦略的インテリジェンス（特定業界を狙う攻撃者グループの動向）がある。MITREが公開するATT&CKフレームワークは攻撃者の戦術・技術を分類した代表的な参照資料だ。

SIEMはセキュリティインテリジェンスを実装する中核インフラだ。社内の様々なシステムからログを収集・相関分析し、脅威インテリジェンスのフィードと照合して異常を検知する。大企業や金融機関ではSOC（Security Operations Center）という専門チームがSIEMを24時間監視する体制を持つ。Splunk・Microsoft Sentinel・IBM QRadarが代表的なSIEM製品だ。

IOC（Indicators of Compromise：侵害の痕跡）は脅威インテリジェンスの基本単位で、マルウェアのハッシュ値・攻撃者が使うIPアドレス・ドメイン名・URLなど、攻撃の証拠となる技術的な情報だ。SIEMや次世代ファイアウォールで自動的に照合・ブロックするのに使われる。

中小企業でも活用できる無料の脅威情報として、IPAの「J-CSIP」・JPCERT/CCの情報・CISAが公開する脅威情報がある。脅威情報を集めるだけでなく、収集した情報を自組織の環境・リスクに照らし合わせて優先順位をつけ、具体的な防御アクションに変換するプロセスが重要だ。

情報の洪水に溺れてどれも対応できない状態（アラート疲労）に陥るリスクも意識する必要がある。脅威インテリジェンスは「すべての情報を取り込む」のではなく「自組織に関連性の高い情報を選別して使う」ことが運用の核心だ。

よくある誤解

セキュリティインテリジェンス＝ウイルス定義ファイルのアップデートという誤解

ウイルス定義ファイルは既知の脅威への対応で、セキュリティインテリジェンスはより広い概念だ。未知の攻撃手法・攻撃者の行動パターン・業界固有の脅威動向など、既知/未知を超えた情報を収集・分析して防御に活かすことがインテリジェンスの本質だ。

セキュリティインテリジェンスは大企業だけのものという誤解

中小企業でも無料・低コストで活用できる脅威インテリジェンスのリソースがある。IPAの「J-CSIP」やJPCERT/CCの情報、CISAが公開する脅威情報は中小企業でも参照できる。自社での分析リソースがなければMSSP（マネージドセキュリティサービスプロバイダー）を活用する方法もある。

会話での使われ方

最近、同業他社への標的型攻撃が増えているという脅威インテリジェンスが入ってきました。うちも対策を強化する必要があります。ISACからの情報共有で判明しました。

CISO（最高情報セキュリティ責任者）が経営会議で脅威動向を報告している場面。業界固有の脅威情報は意思決定の根拠として重要性が高い。

SIEMのダッシュボードで怪しいIPからの接続が増えているのを検知しました。脅威インテリジェンスフィードとマッチしていたので即ブロックしました。IOCの照合が機能しました。

SOC（セキュリティオペレーションセンター）のアナリストがインシデント対応の状況を報告している場面。脅威インテリジェンスとSIEMの連携による自動化の事例だ。

セキュリティインテリジェンスって、具体的に何をすることですか？ログ監視とどう違うんですか？

セキュリティ担当になったばかりの担当者が先輩に質問している場面。「情報収集→分析→行動」というサイクルがログ監視との本質的な違いだ。

【まとめ】3つのポイント

「攻撃者を先読みする能動的なセキュリティ」：脅威情報を収集・分析して自組織の防御に変換することで、受け身から能動的なセキュリティ体制への転換を支える
SIEMとSOCが実装の中核：脅威インテリジェンスフィードをSIEMに統合し、SOCチームが24時間監視する体制が大企業のセキュリティインテリジェンスの典型的な実装形態だ
中小企業でもIPAやJPCERT/CCで始められる：無料で公開されている脅威情報を活用するところから始め、自社のリスクに合わせてMSSPの活用を検討するのが現実的なアプローチだ

よくある質問

Q SIEM（シーム）とは何ですか？: A
Security Information and Event Managementの略で、社内の様々なシステムからセキュリティログを収集・統合し、相関分析して脅威を検知するプラットフォームです。Splunk・Microsoft Sentinel・IBM QRadarが代表的な製品です。

Q 脅威インテリジェンスはどこで入手できますか？: A
IPAのJ-CSIP、JPCERT/CC、米国のCISA、各セキュリティベンダーの無料フィードなどがあります。有料のインテリジェンスプラットフォーム（Recorded Future、ThreatConnect等）は精度が高く大企業向けです。

Q IOCとは何ですか？: A
Indicators of Compromise（侵害の痕跡）の略で、マルウェアのハッシュ値・攻撃者が使うIPアドレス・ドメイン名・URLなど、攻撃の証拠となる技術的な情報です。SIEMや次世代ファイアウォールで自動的に照合・ブロックするのに使います。

Q セキュリティインテリジェンスとSIEMの違いは何ですか？: A
セキュリティインテリジェンスは脅威情報を収集・分析して防御に活かす「プロセス・活動」全体を指す概念で、SIEMはそのインテリジェンスを実装するためのログ収集・分析プラットフォームです。SIEMはセキュリティインテリジェンスを実現するツールの一つです。

この用語と一緒に知っておきたい用語

用語	この記事との関連
SIEM	SIEMとの関係を知ると全体像がつかみやすくなります。Security Information and Event Managementの略（読み：シーム）。ファイアウォール・サーバー・クラウドなど複数のシステムからログを一元収集し、相関分析でサイバー攻撃を検知するシステムだ
IPアドレス	IPアドレスは関連分野でよく登場する重要キーワードです。ネットワークに接続されたすべての機器に割り当てられる識別番号で、データの届け先を特定する役割を担っているよ
マルウェア	マルウェアとの関係を知ると全体像がつかみやすくなります。Malicious Softwareの略（読み：マルウェア）。コンピュータやネットワークに害を与える悪意あるソフトウェアすべての総称だ
アイコン	アイコンを押さえると本記事の理解がさらに深まります。アプリやファイル、操作ボタンなどをひと目でわかる小さな絵で表したもの、それがアイコンだ
次世代ファイアウォール	本記事のテーマと実務上セットで使われることが多い用語です。従来のファイアウォールがIPアドレス・ポート番号で通信を制御するのに対し、アプリケーションを識別して制御する高機能なファイアウォール。HTTPS（443番）でも中身がSlackかYouTubeかを区別できる

【出典】参考URL

https://www.ipa.go.jp/security/ ：IPA 情報セキュリティ
https://www.jpcert.or.jp/ ：JPCERT/CC
https://attack.mitre.org/ ：MITRE ATT&CK フレームワーク