脅威インテリジェンスを本当のセキュリティ成果につなげる方法

セキュリティリーダーに不足しているのはデータではなく「決断」です。ここでは、脅威フィードを、損失を定量的に減らし、対応を加速し、取締役会の信頼を獲得できる運用モデルへと変える方法を説明します。

問題はデータではなく「変換」だ

現代のセキュリティオペレーションセンターは、侵害指標（IOC）、不審なドメイン、サンドボックスレポート、テイクダウン通知、最新キャンペーンに関するニュースヘッドラインなど、膨大なアーティファクトを取り込みます。その多くは理論上は有用ですが、実際に一貫したアクションへとつながるものはごくわずかです。アラートキューは膨れ上がり、アナリストは燃え尽き、経営層には、唯一重要な問い「当社のリスクプロファイルはどう変化したのか？」に答えきれないダッシュボードだけが届きます。最近の2025 Verizon Data Breach Investigations Reportでは、22,052件のインシデントと12,195件の侵害を分析し、サードパーティ関与が30％と2倍に増加したことを指摘しています。これは、リスクを動かすのはダッシュボードではなく「決断」であることを強く思い出させる結果です。

この問題を解決するのが、CTI（サイバー脅威インテリジェンス）のオペレーション化です。「フィードを増やす」ことではなく、インテリジェンスを、検知エンジニアリング、インシデント対応、投資ガバナンス全体で再現性のある意思決定へと変換するための規律あるやり方です。うまく機能すれば、CTIはサイドプロジェクトではなくビジネス機能になります。損失を回避し、収益を守り、レジリエンスを示すための能力になるのです。

CISOの使命：リスク、効率、投資、対応

オペレーショナルリスクと財務損失を減らす

インテリジェンス主導の検知と対応の目的は、データ損失や事業中断を防止または最小化することです。その結果として、被害範囲の縮小、規制対応の負担軽減、復旧コストの低減といった下流効果が生まれます。これこそが取締役会が認識する価値です。

スタッフ効率を最大化する

手作業での検証と相関付けは、アラート疲れを引き起こします。収集、正規化、エンリッチメント、スコアリングといった「配管作業」を自動化することで、アナリストは高付加価値業務、すなわちインシデントのスコープ定義、仮説検証、ビジネスへの助言に集中できます。その結果、「首振り作業」は減り、リスクを動かす活動により多くの時間を割けるようになります。

より良い投資判断を行う

戦略的インテリジェンスは、自社にとって重要な攻撃者、手口、セクターを明確にします。その明確さがロードマップと支出を形作り、最大損失シナリオを最も減らしうるコントロールの強化につながります。CTIはコストセンターではなく、予算の優先順位付けのためのレンズとなるのです。

インシデント対応を強化する

調査中は、コンテキストがすべてです。CTIは、アーティファクトを既知の戦術・技術・手順（TTP）や想定される目的に結び付けることで、意思決定時間を短縮し、確信を持って封じ込めと根絶を行えるようにします。また、インシデント後の学習サイクルにもフィードバックされ、検知やプレイブックを改善します。

なぜチームは溺れるのか：過負荷、カオス、ムダ

情報過多

キュレーションされていないフィードは、価値ではなく「量」を生み出します。スコアリング、重複排除、関連性フィルタリングがなければ、SIEMやSOARはノイズの通り道になってしまいます。その結果は、キューの増大と対応の遅延であり、カバレッジの向上ではありません。

非構造化されたカオス

インテリジェンスは、PDF、メール、ブログ記事、SNSの断片など、さまざまな形で届きます。ソースや社内テレメトリをまたいで構造化・分類・検索・相関させる仕組みがなければ、分析はアドホックになり、成果はアナリスト個人の力量に左右されます。

非効率なリソース利用

手作業でのルックアップやコピペ作業に、何時間も費やされます。その時間は、本来であれば脅威ハンティング、検知チューニング、損失を減らすシナリオ演習に充てられるべきものです。この機会損失は現実のものです。

フィードから意思決定へ：機能するオペレーティングモデル

1）優先インテリジェンス要件（PIR）から始める

ビジネスリスクを、以降すべてを導く焦点の定まった問いへと翻訳します。例：

• 「どのランサムウェアアフィリエイトが、当社のセクターとアイデンティティスタックを標的にしているか？」
• 「当社のクラウドコラボレーションツールに対して、どの初期侵入ベクターがトレンドになっているか？」
• 「今四半期、どのサプライヤーが、最も現実的な攻撃経路を当社にもたらしているか？」

PIRは、収集、自動化、レポーティング、ステークホルダー調整の北極星です。あるフィードやタスクがPIRに資するものでなければ、それはやめるべきです。

2）配管は一度作り、あらゆる場所で使い回す

• 収集と正規化：API経由でソースを取り込み、可能な範囲で標準化します（例：STIX/TAXII）。量よりも、セクターISAC/ISAO、信頼できるベンダー、政府勧告など、キュレーションされたソースを優先します。
• 自動エンリッチメント：WHOIS、パッシブDNS、マルウェアファミリー分類、社内での検知状況、アセットコンテキスト、エクスポージャーデータなど。
• スコアリングと優先度付け：PIRとの関連性、アクターに対する確信度、新しさ、社内での可視性（例：「自社環境で観測済み」）などを重み付けします。
• SOARオーケストレーション：事前承認済みプレイブックにより、高確度の項目をブロックリスト、EDR、メールゲートウェイ、検知バックログへプッシュし、適切な人間のチェックポイントを設けます。

目標：アナリストは配管作業ではなく、判断と統合に時間を使うこと。

3）IOCだけでなく「振る舞い」に基づいて検知を構築する

インジケーターは消耗品ですが、振る舞いは持続します。攻撃者のトレードクラフトをMITRE ATT&CKにマッピングし、技術を連鎖させた分析ストーリー（例：フィッシング → トークン窃取 → 条件付きアクセスの回避 → 流出）を書きます。インジケーターはストーリーを支える要素であり、ストーリーそのものではありません。このシフトにより、アラートノイズは減り、検知の持続性は高まります。

4）CTIをIRと脅威ハンティングに統合する

• インシデント前：ハンターはPIRを使って仮説を立て、検知エンジニアは優先技術と既知のギャップに対するカバレッジを検証します。
• インシデント中：インテルデスクが、想定される目的、ラテラルムーブメントパターン、C2ファミリー、流出先などのライブコンテキストを提供します。
• インシデント後：得られた教訓をPIR、検知コンテンツ、コントロールチューニングにフィードバックします。インテリジェンスは週次PDFではなく、インシデントタイムラインに織り込まれるべきものです。

5）馴染みのあるフレームワークや義務と結び付ける

CTIを使って、既存のフレームワークやコントロールの強化対象にフォーカスします（例：ATT&CK技術を自社のコントロールカタログにマッピングする、実際に悪用されている脆弱性にパッチ適用を集中させる、改善点をNIST CSF 2.0やACSC Essential Eightにマッピングする、など）。CTIは、監査、規制当局からの問い合わせ、取締役会レビューに対するエビデンスとなり、価値の低いツールを廃止する根拠にもなります。

「良い状態」とは何か：成熟度のシグナル

• ソースの合理化：すべてのソースが少なくとも1つのPIRに紐づいており、使われていないフィードは廃止されている。
• 摩擦のないインジェスト：IOCの取り込みは、人が目にする前に自動でエンリッチ、スコアリング、重複排除されている。
• 振る舞い優先の検知：カバレッジはATT&CKにマッピングされ、バージョン管理され、一定のサイクルでレビューされ、陳腐化したコンテンツにはドリフトアラームが出る。
• IRへの組み込み：インテルサマリーが、デフォルトでインシデントタイムラインや事後報告書に含まれている。
• 経営層の明瞭さ：レポーティングは1枚のスライドで、「行った決定」「減らしたリスク」「得られた効率」を示す。

これらは、CISOが要求でき、SOCが提供できる実務的な指標です。

CTIが必ず答えるべき問い

• 誰が当社を狙っているのか（アクター、アフィリエイト、エコシステム）？
• どのような手口を使っているのか（TTP、ツール、インフラ）？
• どこが露出しているのか（コントロールギャップ、外部攻撃面、サプライヤーリスク）？
• いつ活動が起こりやすいのか（キャンペーンのテンポ、季節性パターン、トリガー）？
• なぜ当社は魅力的なのか（業種、データ、地政学的文脈、マネタイズパス）？
• どのようにこれを防止または妨害するのか（検知、コントロール、プレイブック、テイクダウン）？

この6つに安定して答えられないプログラムは、インテリジェンスではなく、ただのフィードに過ぎません。

避けるべき落とし穴（とその回避方法）

IOCだけにとらわれた思考

問題：使い捨てのインジケーターを追いかけると、ツールはあふれ、人は疲弊する。
解決策：振る舞いベースの分析を優先し、インジケーターは自動パイプラインから供給される補助証拠として扱う。

フィードのスプロール

問題：「できるからやる」は戦略ではない。
解決策：すべてのソースをPIRと意思決定パスに結び付ける。それに貢献しないものは停止する。

すべて手作業

問題：コピペ文化はスケールしない。
解決策：収集、正規化、エンリッチメント、スコアリングを自動化する。人間の時間は調査と統合に充てる。

意思決定を促さないレポーティング

問題：ダッシュボードは天気を教えてくれるが、経営陣が必要なのは予報とフライトプランだ。
解決策：すべてのインテルアウトプットを、「ブロックする／監視する／ハントする／チューニングする／投資する／演習する」といった推奨アクションで締めくくり、その決定が実行されたかを追跡する。

取締役会にとって重要なメトリクス

リスクアウトカム（損失回避）

CTIを、主要シナリオ（例：ランサムウェアやBEC）におけるエクスポージャー低減に結び付けます。インテリジェンスが、条件付きアクセスの強化、マクロ制御の厳格化、脆弱コンポーネントのパッチ適用といった具体的な変更をどのように促したかを示し、想定損失の減少を見積もります。これはCFOに響くストーリーです。

運用効率（取り戻したキャパシティ）

CTIが関与したことでSOCに何が変わったかを測定します。自動エンリッチまたは自動クローズされたアラートの割合、検知／対応の平均時間（MTTD/MTTR）の変化、トリアージからハンティングやエンジニアリングへと振り向けられたアナリスト時間などです。これらの数字に、四半期ごとに1件の具体的なケーススタディを添えます。

検知有効性（カバレッジと鮮度）

ATT&CKにマッピングされた検知の割合、自社セクターにとって優先度の高い技術のカバレッジ、陳腐化したコンテンツに対するドリフトアラームなどを追跡します。検知カタログが、昨日のインジケーターではなく、攻撃者の振る舞いに合わせて進化していることを示します。

投資の質（リスクに沿った支出）

予算がPIRに沿って配分されていること、価値の低いツールやフィードを廃止したこと、インテリジェンスの知見に基づいてコントロールを重点的に強化したことを示します。これにより、CTIがオペレーションだけでなくガバナンスにも寄与していることを証明できます。

今すぐ始められる高インパクトなユースケース

ランサムウェアアフィリエイトのウォッチリスト

自社セクターで最も活発なアフィリエイトの最新TTPを維持します。それらをブロックルール、分析ストーリー、テーブルトップ演習に変換します。条件付きアクセスレビューやデータ流出検知と組み合わせます。

ブランドおよび経営幹部のなりすまし

類似ドメイン、アプリストア悪用、経営幹部のなりすましパターンを監視します。テイクダウン要求を自動化し、そのパターンをメール／Webゲートウェイにフィードし、広報チームにブリーフィングします。

サプライヤーおよびSaaSのエクスポージャー

CTIを使って、サプライヤーリスク、既知の侵害、積極的に悪用されているコンポーネント、漏えいした認証情報、エクスプロイト開発の意欲などをスコアリングします。補完的コントロールや、透明性と対応コミットメントを求める調達条項を優先します。

フィッシングからランサムウェアに至るチェーン

誘導メールのテーマ、ペイロードファミリー、C2インフラを相関させます。メールフィルタやエンドポイント検知を事前に配置し、現在の誘導テーマを反映したターゲット型の啓発キャンペーンを実施し、クリック率と報告行動を測定します。

各ユースケースは、意図的にスコープが狭く、測定可能で、PIRに沿っています。「海を沸かす」アプローチとは正反対です。

まとめ

CTIが価値を生むのは、それが「何を検知するか」「どう対応するか」「何を購入するか」「何を演習するか」を変えたときだけです。生のフィードから運用能力へのシフトは、ツールや量の問題ではありません。重要なのは、（PIRによる）規律あるフォーカス、振る舞い優先の検知、雑務を取り除く自動化、そして意思決定を引き起こすレポーティングです。これらを正しく実行できれば、昨日のインジケーターを追いかける立場から、明日の攻撃を中断させる立場へと移行でき、経営陣にとって最も重要なもの、すなわち「レジリエンスが向上しているという証拠」を提供できます。

この記事は、Foundry Expert Contributor Networkの一環として公開されています。
参加をご希望ですか？