CISOが脅威インテリジェンスを効果的に活用する際に直面する5つの課題

脅威インテリジェンスの活用はCISOにとって長年標準的な取り組みとなっており、セキュリティ責任者は脅威状況に関する追加データが、悪意ある攻撃者への備えや防御を強化するのに役立つと認識しています。

しかし、多くのCISOが脅威インテリジェンスの活用において依然として十分に成果を上げられていないと述べています。

サイバーセキュリティソフトウェアメーカーTrellixによる2025年のレポート「The Mind of the CISO: Closing the gap between reaction and readiness」によると、調査対象となったCISOの95%が、脅威インテリジェンス共有コミュニティやネットワークに参加することで脅威への備えが向上すると回答しています。しかし、それ以上の割合（98%）が、脅威インテリジェンスを活用する際に自社が障壁に直面していると答えています。

これらの数字は現状の一端を示しているに過ぎないとセキュリティリーダーは語ります。ほぼすべてのセキュリティチームが何らかの脅威インテリジェンスをセキュリティツールに組み込んでいるため、CISOがインテリジェンスにアクセスできるかどうかが本質的な課題ではありません。

むしろ問われるのは、CISOがその脅威インテリジェンスをどれだけ効果的に活用できているか、そしてそのインテリジェンスをどの程度運用に落とし込めているかです。

ここでは、CISOが脅威インテリジェンスを効果的に活用する際によく直面する5つの課題と、それを克服するための戦略を紹介します。

1. 自社ビジネスに最も関連する脅威インテリジェンスの特定

脅威インテリジェンス（CTIとも呼ばれる）は、さまざまなチャネルを通じてCISOに届きます。無料のものもあれば、有料のものも多く存在します。一部のCISOは自社で脅威インテリジェンスを収集するリソースを持っていますが、多くは政府機関、研究者、ISAC（情報共有・分析センター）などから入手しています。

CISOはまた、商用サイバーセキュリティ企業や、インテリジェンスフィードやレポート、あるいはセキュリティチーム向けに販売される技術やサービスの自動更新を通じてインテリジェンスを提供するベンダーからも脅威インテリジェンスを購入しています。

しかし、LevelBlueのマネージドセキュリティサービスプロバイダーでチーフエバンジェリストを務めるTheresa Lanowitz氏は、CISOにとって一部の脅威インテリジェンスフィードが自社にとって有用でない場合があると指摘します。

問題はフィードの質ではなく、それが特定の組織に適用できるかどうかです。

「世の中には非常に多くの情報がありますが、CISOは自社の業界や組織に関連する脅威インテリジェンスを見極める必要があります」とLanowitz氏は言います。

例えば、ランサムウェア、フィッシング、ビジネスメール詐欺攻撃などはほぼ普遍的な脅威ですが、他のハッカーの戦術・技術・手順（TTP）は業界によって多いものもあれば、特定の資産に対して使われやすいものもあります。

Lanowitz氏は、脅威インテリジェンスを最も効果的に活用しているCISOは、自社が直面しやすい脅威を把握しており、それに関連するデータの取得に注力していると述べています。

テック企業PendoのCISOであるChuck Kelser氏のアプローチはその好例です。彼は自社業界の同業者ネットワークに参加し、最も発生しやすい脅威を正確に特定するだけでなく、新たな脅威やゼロデイ脆弱性のニュースも把握できるようにしています。

「これによって私たちは有用な情報を得られています」と彼は話します。

2. IT環境のセキュリティ体制に合わせて脅威インテリジェンスを運用化する

National UniversityサイバーセキュリティセンターのディレクターであるChris Simpson氏は、CISOが直面するもう一つの大きな課題は、収集・分析した脅威インテリジェンスを実際に運用化することだと述べています。

Simpson氏は、CTIデータを組織の脆弱性管理プログラムや、SIEM（セキュリティ情報・イベント管理）システム、脅威ハンティング活動などに統合することが極めて重要だと指摘します。

Simpson氏は多くのセキュリティ責任者にとってこれは難しい課題だと認めつつも、Financial Services ISACのCISOであるJohn Denning氏は、これは克服できるべき課題だと述べています。

「組織の規模に関わらず、脅威インテリジェンスを防御技術スタックにシームレスに取り込むプロセスが必要です」とDenning氏は言います。「そのためには、システムがインテリジェンスを取り込めるように設計・構成・構築されている必要があります。同様に重要なのは、取り込んだインテリジェンスの質や有効性を判断するためのレポートや指標をシステムが生成できることです。」

さらに、セキュリティチームは組織のIT環境、ビジネス運営、戦略、業界に関する十分な洞察を持っている必要があります。これにより、まず組織にとって最も重要な脅威インテリジェンスフィードやレポートを特定し、次にそれらのレポートの中から自社のセキュリティ体制にとって最も意味のあるデータに絞り込んで活用できるようになります。

3. ノイズを除去してセキュリティ業務の負荷を軽減する

たとえCISOが関連するインテリジェンスをセキュリティプログラムに統合していても、実際に脅威を示すデータに集中するためにノイズを除去するのに苦労することが多いとSimpson氏は指摘します。

ノイズとは、即時対応や注意が不要、あるいは全く必要ない無関係または価値の低い情報と見なされます。ノイズには、誤検知や、誤って悪意があると判断された無害なトラフィックなどが含まれます。

ノイズが多すぎると、すでに手一杯のセキュリティチームが、実際の問題ではないものに貴重な時間と労力を費やしてしまいます。

これを回避する方法もあります。Wiproの2025年サイバーセキュリティレポートによると、一つの戦略は「すべての企業セキュリティツールからデータを集約し、より高度なコンテキストと洞察を得る『セキュリティデータファブリック』アプローチを採用すること」です。これにより、セキュリティチームは誤検知を減らし、平均修復時間（MTTR）を短縮しつつ、セキュリティスタックを最適化できます。

4. 組織目標やリスク許容度に沿った調査の優先順位付け

組織に最も関連する脅威インテリジェンスに絞り込んでも、セキュリティチームが精査すべき情報はまだ大量に残ります。脅威インテリジェンスへの対応を自動化することで負荷をさらに減らすことはできますが、PwCのグローバル脅威インテリジェンス部門ディレクターでアメリカ地域リードのAllison Wikoff氏は、セキュリティチームはさらに精査が必要なインテリジェンスを効果的に優先順位付けする方法を学ぶ必要があると述べています。

そのためには、脅威状況の理解に加え、組織の目標や資産を把握している必要があると彼女は言います。これにより、脅威インテリジェンスが示す項目のうち、さらに調査が必要なものをリスクベースで優先順位付けし、実行できます。

「脅威インテリジェンスは、チームが自社に関連する脅威を評価し、上記のポイントを踏まえて、何をすべきかについて情報に基づいた意思決定を可能にします」と、オーストラリアの重要インフラ分野を支援するCI-ISAC AustraliaのCEO、David Sandell氏も付け加えます。「脅威インテリジェンスを使えるものにするにはコンテキストが鍵です。脅威は何か？どのように発生するのか？実行の難易度は？責任者は？自分が標的になりやすいのか？脆弱なのか？」

5. 脅威インテリジェンスを戦略策定に活用する

セキュリティチームは通常、脅威インテリジェンスを戦術的に使い始めます。これは多くの場合、低レベルのセキュリティタスクの自動化に関連しています。例えば、危険なIPアドレスをブロックするセキュリティツールは、ツールメーカーが新たに問題視されたアドレスのインテリジェンスを受け取ると自動的に更新されます。

セキュリティチームが脅威インテリジェンスの活用を成熟させると、CTIを運用化します。ここでは、インシデント対応計画の策定にインテリジェンスを活用します。例えば、特定の種類の脅威が自社環境で検出された場合に、次に何をすべきかをインテリジェンスが示してくれます。

成熟度曲線の次の段階は戦略的活用です。これは脅威インテリジェンスの最も高度な使い方であり、CISOが脅威状況、自社IT環境、組織、業界とインテリジェンスを統合し、セキュリティ機能や組織全体の戦略的意思決定に活用します。

多くのCISOはまだそこまで到達していません。Trellixの調査によると、調査対象CISOの60%が、自社の脅威インテリジェンスをサイバーセキュリティ戦略全体に十分統合できていないと回答しています。

「多くのCISOは脅威インテリジェンスをインジケーター・オブ・コンプロマイズ（IoC）にのみ活用していますが、脅威インテリジェンスはサイバー防御やリスク管理のさまざまな分野に統合できます」とFinancial Services ISACのDenning氏は述べます。「IoC以外にも脅威インテリジェンスを活用するCISOは、インテリジェンス駆動型の統合防御ネットワークを自社に構築できます。」

戦略策定に脅威インテリジェンスを活用するには、PwCのWikoff氏によれば、CISOが自社の脅威プロファイルを経営層に効果的に伝え、取締役会がそれを理解し意思決定に活かせるようにする必要があります。

さらに、CISOは自社に迫る脅威の動機を理解する必要があると彼女は言います。つまり、脅威アクターの動機を知る必要があります。CISOは、最も攻撃してくる可能性が高い脅威アクターは、素早い金銭目的の機会主義者なのか、自社の知的財産を狙っているのか、それとも自社のシステムを他の標的への踏み台にしようとしているのか、といった問いを持つべきです。

Wikoff氏は、CISOは脅威インテリジェンスから得られる洞察と、経営層や取締役会による組織リスク評価を組み合わせて、より正確かつ効果的にリスクや脅威に対応するセキュリティ戦略を策定できると述べています。

関連記事：