SecurityWeekのCyber Insights 2026では、今後12か月にわたりサイバーセキュリティの関心領域(10数分野以上)がどのように進化していくと見込まれるかについて、専門家の見解を検証します。私たちは何百人もの個別の専門家に話を聞き、見解を得ました。ここでは情報共有を取り上げ、現在何が起きているのかを評価し、2026年以降に待ち受けるものに向けてサイバーセキュリティのリーダーが備えられるようにすることを目的とします。
情報共有は効率的なサイバーセキュリティに不可欠で、広く行われているが、実務では決して完璧にはならない。
「情報共有は非対称な防御上の優位性をもたらします」と、Kiteworksで欧州事業のVP兼GMを務めるDario Perfettibileは説明します。「ある組織が新しい攻撃を検知し、侵害指標(IoC)、脅威アクターの戦術、そして防御策を共有すれば、何百もの同業組織が標的にされる前に自らを“免疫化”できます」。
Merlin Groupの最高戦略責任者であるMatthew Harmonは、「サイバー脅威インテリジェンスの迅速かつ継続的な交換により、組織(公的・民間、国内・国際を問わず)は侵入をより迅速かつ効果的に検知し、対応できるようになります」と付け加えます。
私たちはこれを、2024年後半に米国の商用通信インフラに対して行われたPRC(中国)国家支援の侵入キャンペーン、通称「Salt Typhoon」で目の当たりにしました。
彼は続けて、「官民の継続的な協力は、米国政府によるSalt Typhoonの脅威検知を直接的に可能にし、さらに重要なことに、影響を受け得るセクターや組織のネットワーク防御担当者へ、ハンティングおよびハードニングのガイダンスを迅速に周知することを可能にしました。この迅速で協調的な対応は、2015年サイバーセキュリティ情報共有法(CISA 2015)がなければ、ほぼ確実に妨げられていたでしょう」と述べます。
今日生成されているサイバー脅威インテリジェンスの量は圧倒的です。「情報共有チャネルは、入力を凝縮し、業界のノイズの中から本物のシグナルを浮き彫りにする助けになることが多いです」と、VulnCheckのセキュリティリサーチ担当VPであるCaitlin Condonは言います。「サイバー脅威インテリジェンスの性質上、検証、文脈、比較が求められます。情報共有は、サイバーセキュリティの専門家が新たに台頭する脅威をより厳密に評価し、新しいトレンドや逸脱を特定し、技術的に包括的なガイダンスを策定することを可能にします」。
これはサイバーセキュリティの重要な要素です。「2025年にHarrodsやJLRのような小売業者・企業を襲った一連の攻撃は、各被害者から得られた教訓がより速く学習され、より速く共有されていれば、完全に防げなかったとしても、少なくともより迅速に軽減できた可能性があります」と、Binalyzeの市場戦略担当VPであるMarie Wilcoxは付け加えます。「この責務は、単一の組織に委ねるにはあまりにも重要です」
情報共有の方法
実際、情報共有には複数の組織が関与しており、それぞれに異なる強みと弱みがあります。最もよく知られているのは、おそらくCISAでしょう。
サイバーセキュリティ情報共有法(CISA)
CISAには2つあります。2015年サイバーセキュリティ情報共有法と、2018年の別法であるサイバーセキュリティ・インフラセキュリティ庁法によりDHSの下に設立されたサイバーセキュリティ・インフラセキュリティ庁です。両者は別物ですが、相乗効果はあります。
前者は現在、より不安定な状況にあります。というのも、2025年9月30日という失効(サンセット条項)期限を過ぎているためです。現在は延命措置として、2025年秋の政府閉鎖後に連邦政府を再開させるために可決された継続決議の一部として、2026年1月30日まで暫定的に再承認されています。1月末までに再承認されなければ失効します。
CISA(庁)は、CISA(法)が失効しても存続しますが、同法に支えられている情報共有の枠組みは弱体化する可能性があります。実際、情報共有全体が弱体化する恐れがあります。
「2015年サイバーセキュリティ情報共有法が米国の国家安全保障にとって重要であることは、いくら強調してもし過ぎることはありません」と、Sysdigのサイバーセキュリティ戦略担当であるCrystal Morinは言います。「法的保護がなければ、多くの法務部門はセキュリティチームに対し脅威インテリジェンス共有を控えるよう助言し、その結果、より遅く、より慎重なプロセスになります。その変化は、高精度でリアルタイムな洞察の流れを減らします。これはまさに、敵対的キャンペーンがエスカレートする前に阻止するために組織が頼りにしている種類のインテリジェンスです」。
彼女は続けて、「責任追及(賠償責任)保護やFOIA(情報公開法)シールドが失われることを踏まえ、法務部門はセキュリティチームに対して共有の縮小、あるいは全面停止を助言する可能性が高いでしょう。これにより、新たに報告される侵害指標(IoC)が目に見えて減少します。リアルタイムの情報共有ではなく、失効はより慎重で、遅延し、限定的なやり取りを招き、CISA[庁]が過去8年間で築いてきた勢いを弱める可能性が高いのです」。
「サイバーセキュリティ情報共有法は、自発的な共有を促す責任追及保護を提供しますが、更新されない可能性があると、組織が独禁法上の含意や開示要件を恐れて参加が萎縮します」とPerfettibileは警告します。
「業界団体は、サイバー情報共有法の再承認を議会に求めてきました」と、CrashPlanのCISOであるTodd Thorsenは言います。「更新や代替がなければ、法的リスクを恐れてインテリジェンス共有が大幅に減少する可能性があります」
「CISA 2015の失効は、公的部門と民間部門にまたがる情報共有を可能にする上での重要な役割を踏まえると重大です……とはいえ、本当の問題は失効そのものではなく、共有されている内容が時代遅れで受け身である点です」と、BeyondTrustの公共部門担当チーフ・サイバーセキュリティ・テクノロジストであるKevin E Greeneは述べます。
彼は「今日の脅威インテリジェンスの多くは依然として受け身で、短命なIoCに駆動されており、機関がサイバー攻撃を予測したり阻止したりする助けにはほとんどなりません」と説明します。「私たちは、アイデンティティ中心の文脈で強化された行動ベース分析を重視するよう、情報共有の枠組みを近代化する必要があります。そうしない限り、国家のサイバー防衛は受け身で断片化したまま、敵対者の一歩後ろに留まり続けるでしょう」。
CISA(庁)は「失効」しませんが、人員と資金に関する追加の問題を抱えています。前政権下では(SolarWindsを受けて)責務が拡大した一方、現政権下では資金が(「再集中」と位置付けられ)約5億ドル削減されています。結局のところ、CISAはより多くの責任を、より少ないリソースで担っています。
「外国の敵対者やサイバー犯罪者は、CISAの人員削減を米国の重要インフラを探る好機と見なす可能性があります。攻撃の急増が必ずしも保証されるわけではありませんが、防御が弱まったという認識だけでも、脅威アクターが限界を試すよう大胆になるかもしれません」とMorinは警告します。
他のCISAの責務にも波及効果が出る可能性があります。例えばCIRCIA(重要産業からCISAへのインシデント報告の義務化)です。2022年重要インフラ向けサイバーインシデント報告法は、CISAが「ルールメイキング」の役割を完了した後、2026年半ば頃に全面施行される見込みです。施行されれば、CISAへの負荷はさらに増します。
「その法律はインテリジェンス共有ではなく報告に関するものですが、施行されれば、インシデントデータが政府に流れ込む構造化されたパイプラインが生まれます」と、Rapid7のグローバル政府渉外・公共政策担当VPであるSabeen Malikは述べます。政府に入る情報が増え、質も上がれば、政府から出てくる脅威情報もより良くなることが期待されます。
しかし、CISAへの負荷はすでに表面化している可能性があります。CISAはMITREのCVE運用の戦略的スポンサーです。CISAは、重要インフラを支える政府ニーズとの整合を確保するために資金と指針を提供しています。とはいえ、CVE番号付与システムがセキュリティ専門家にとっての重要性を下げていることは明らかです。これは一部には、番号付与権限の分散化に伴う件数の膨大さと精度の問題によります。この状況はNISTにも波及し、CVEに深刻度スコアを付与するプロセスに影響しています。バックログが発生し、付与されるスコアの正確性に対する懸念が高まっています。
セキュリティ専門家にとって最大の懸念は、結果としてのNIST NVD(国家脆弱性データベース)の適時性と正確性です。セキュリティ担当者が即時のデータを必要としているときに、過去の、あるいは疑わしいデータを提供してしまうことがあります。
2021年からCISAは、KEVリストとして知られるカタログを開始しました。これは「既知の悪用済み脆弱性」のリストです。主な価値は、どの脆弱性をできるだけ早くパッチ適用すべきかを組織に知らせる点にあります。しかし、悪用済み脆弱性の完全な一覧ではなく、重要産業に偏っています(連邦機関は掲載項目を50日以内にパッチ適用することが義務付けられています)。これは、政府のセキュリティ支援というCISAの主要目的を反映しています。
その他の情報源
セキュリティ専門家向けの脅威情報源は他にも多数あります。おそらく最も重要な2つは、セクター別のISACとInfraGardです。
情報共有・分析センター(ISAC)
ISAC(Information Sharing and Analysis Center:情報共有・分析センター)は一般に、特定の業界セクター内の会員から脅威情報を取り込み、分析し、会員へ配布する、非営利で会員主導の組織です。ISACへの加入費用は、加入組織の売上に基づくことが多く、小規模企業は大企業より安くなります。
「特定領域の情報に絞ったISACがあることで、グループの会員にとって最も価値の高いTTPや情報に特化できます」と、FortraのR&D担当アソシエイトVPであるBob Erdmanは述べます。「ノイズをより多く取り除き、より実行可能性の高い情報を会員に伝える助けになります」。
Thorsenは「ISACは引き続き有用であり、その価値は今後も高まるでしょう。ISACをより広いインテリジェンス・ネットワークの一部(唯一の情報源ではない)として扱う組織が、最大のリターンを得ます」と付け加えます。
しかし、「ISACが提供する価値はまちまちです」とPerfettibileは警告します。「金融サービスのISACはリアルタイムの脅威フィードで高い有用性を示す一方、新しいセクターのISACは参加と関連性の面で苦戦しています」。
Condonはより前向きです。「ISACは確かに有用です。特に、多くが脅威モデルや規制要件が重なる専門セクターに焦点を当てているためです。セクター別のインテリジェンス共有の取り組みは、新たな脅威や攻撃ベクトルへの対処、さらには長期的なリスク戦略の指針として非常に役立ちます。政府データソース(NIST NVDなど)や政府主導の共有取り組みの将来が不透明な状況が続く中で、ISACの価値は高まっていると思います」。
InfraGard
InfraGardは、FBIと民間個人の間の、セクター横断の官民パートナーシップです。主な目的は、産業を守るために脅威情報を収集し、周知することです。会員はサイバー侵入に関する観測や洞察を地元支部に提供します(全国に70以上あります)。
その見返りとしてFBIは、適時で信頼できるはずのセキュリティ情報を、セキュアなオンラインポータル、または緊急アラートの場合は直接メールで、InfraGard会員全員に配信します。非会員でも、CISAなど他組織とのFBIの関係を通じて、より迂回的に情報を受け取ることは可能です。
InfraGardの理論は健全ですが、実務では批判も残っています。Arkose LabsのCIO兼CSOであるPhil Stefforaは、「法執行機関(LEA)から企業への共有は戦術的でインシデント中心です。一方、企業からLEAへの共有は、責任問題への懸念や契約上の制約から、ためらわれがちです」と述べます。
Thorsenは「LEAは民間企業と共有できる範囲で共有しますが、共有する情報が進行中の捜査、情報源、手法を損なわない範囲に限られます。非対称な関係です」と付け加えます。
Perfettibileはこれをさらに掘り下げます。「LEAは通常、進行中の捜査を損なわないように精査・無害化した脅威インテリジェンスを選択的に共有するため、生のインシデントデータを共有しているのに見返りが曖昧な警告に留まるCISOの不満を生みます。サイバーセキュリティ情報共有法は自発的共有を促す責任追及保護を提供しますが、更新されない可能性があると、組織が独禁法上の含意や開示要件を恐れて参加が萎縮します」。
IC3
インターネット犯罪苦情センター(IC3)は、25年前にFBIによって設立されました(2000年にInternet Fraud Complaint Centerとして発足し、2003年にIC3へ改称)。主な目的はサイバー犯罪との闘いで、被害者はIC3にインシデントを報告します。IC3は被害者に直接支援を提供する一方、受け取った脅威情報も周知しますが、その方法は適時性に欠け、真に意味のある形でもありません。
周知は、新規または継続中の脅威に関する公共サービス告知、年次報告、オンラインの業界アラート、そしてInfraGardやCISAのようなLEAおよび信頼できるパートナーとの共有を通じて行われます。最後のものが最も詳細な共有ですが公開されません。具体的な脅威インテリジェンスを提供するよりも、トレンドを発見することの方が得意です。
プライベートなCISOコミュニティ
適時性と具体的な関連性は、主要な情報共有媒体における最大の弱点です。これに対処するため、CISOは他のCISOと現在進行中のインシデントについて議論できる独自のクローズド・コミュニティを構築してきました。これはSlack、WhatsApp、Signalなどのチャネルを通じて行われます。チャネルのセキュリティは懸念事項ですが、複数のCISOほどセキュリティを監視・統制できる存在がいるでしょうか。
これらのコミュニティは、コロナ禍のロックダウン後に出現し始めました。それ以前は、CISOは会議やセミナーで互いを探し、非公開の会話をしていました。ロックダウン中はそれが不可能になり、代わりにオンラインで会うようになりました。進化するコミュニティはそれ以来成長し続け、国際化し、数百人のCISOで構成されることもあります。
コミュニティの規模は十数人から数百人までさまざまで、主題領域(縦割りの業界セクター)や地理的地域を軸にグループ化されることがよくあります。大規模グループでは会話は比較的センシティブでなくなる傾向があり、センシティブな話題は小規模グループに限定されます。ある意味では、上位コミュニティの規模は重要ではありません。センシティブな話題を提起し、関心のある人だけが会話の期間中、別グループに分かれて議論することができるからです。
「定義上、広く共有される情報やインテリジェンスは機密ではありません。特定のプラットフォームに完璧なセキュリティを期待するよりも、セキュリティを意識した情報共有のより良いアプローチは、情報そのものを機微度で区分し、使用するプラットフォームやチャネルの信頼性に見合うデータやインテリジェンスだけを共有することです」とVulnCheckのCondonは述べます。
「非機密のインテリジェンスであれば、SlackやDiscordなどのチャットプラットフォームで共有される情報は、Signalメッセージやその他のエンドツーエンド暗号化通信で共有されるものより、機微度が低いことが多いです。インフォセックでは、情報をどの程度広く共有できるかを示すTraffic Light Protocol(TLP)指定も多用されます」。
FortraのErdmanはTLPの価値を補足します。「情報の共有レベルは適切に示される必要があり、共有に許される方法はそれらの指定に従うべきです。小規模グループなら『これはTLP Redなので内密に』という一言のように非公式でも構いません。大規模グループの場でも、TLPの信号色は依然として有効です。ルールに従わない主体がいれば、制裁したりグループから排除したりする迅速な措置を取れます。データへのアクセスが欲しければ、ルールに従うと信頼されなければなりません」。
しかし、選択したチャネルのセキュリティは依然として懸念事項です。「クローズドな情報共有グループの参加者の多くは、何を誰と共有しているかだけでなく、仮に侵害や召喚状が発生した場合の影響、そしてプラットフォーム提供者が政治的・市場的圧力の下でデータを引き渡す可能性がどれほどあるかについても、強い意識を持っています」とCondonは続けます。
監視経済が定着し拡大する中で、プラットフォーム提供者のプライバシーとセキュリティに関する選択は、情報共有でどのプラットフォームを信頼するかを決める組織にとって、ますます重要になります。
Stefforaはこれを「セキュリティとアクセシビリティの緊張関係」と呼びます。「一例が、数百人のCISOが参加する招待制のSlackコミュニティです。リアルタイムの同業者アドバイスや脅威インテリジェンスとしては素晴らしい一方で、集中リスクでもあります。Slack自体が侵害されたり、メンバーの1人が悪意ある人物だったりすれば、露出が生じます。完璧な答えはありません。組織は開放性とリスク許容度のバランスを取ります。2026年には、コミュニティはこの2つの目標の良いバランスを見つける方向に取り組むと思います」。
それでも、Bugcrowdの最高戦略・信頼責任者であるTrey Fordは、これらのコミュニティの主要な価値を説明します。「個人間の信頼は明示的です。組織間の信頼は暗黙的です。政府がスポンサーとなる安全な場を作り維持するために必要な法的・組織的努力は、信頼レベルを暗黙的なもの――会社対会社であって人対人ではない――に制約します。しかし私は、別のセキュリティ幹部とビールやコーヒーを飲みながら腰を据えて話し、捜査や問題、失敗のパターン、その他さまざまなことについて明示的に話し合い、メモを共有できます。人員、タレント、新たに発覚した脆弱性、あるいは最新のlog4jにどう対応しているかについても話せます」。
共有の未来
サイバーセキュリティにおける情報共有の潜在的価値は計り知れませんが、実現できる価値は必ずしもそれほど大きくありません。
「今日の脅威インテリジェンスの多くは依然として受け身で、短命なIoCに駆動されており、機関がサイバー攻撃を予測したり阻止したりする助けにはほとんどなりません」とBeyondTrustのGreeneは述べます。「私たちは、アイデンティティ中心の文脈で強化された行動ベース分析を重視するよう、情報共有の枠組みを近代化する必要があります」と彼は続けます。「そうしない限り、国家のサイバー防衛は受け身で断片化したまま、敵対者の一歩後ろに留まり続けるでしょう」。
しかし、2026年以降、共有が増えることは避けられません。「情報共有と報告は、さまざまな理由で今後も増加し続けるでしょう。理由の一つは、インシデントがかつてないほど増えていることです」と、CyXcelのデジタル・フォレンジック&インシデント対応(北米)担当VPであるBrent Rileyは述べます。
彼はさらに、「もう一つは、過去にはサイバーインシデントを法執行機関に報告することに消極的だった組織が、IC3に犯罪を報告すると監査面での保護が強まる場合があることを学んだ点です。サイバー犯罪を報告しただけで監査やその他の政府規制当局の注目を浴びるのではないかという懸念は、過去5年間である程度和らいでいます」と付け加えます。
KiteworksのPerfettibileも、2026年に共有量が増えることには同意しますが、品質面の課題に直面すると述べます。「自動化は膨大な指標フィードを生成し、アナリストを圧倒します。一方で、攻撃者の手口に関する本当に価値のある文脈的インテリジェンスは、競争上の懸念や機密区分のために厳重に保持されがちです。将来はインセンティブ問題を解決できるかにかかっています。詳細な侵害情報を共有する組織は評判の毀損や規制当局の精査というリスクを負う一方、フリーライダーは貢献せずに利益を得ます」
彼は「匿名化された共有を可能にするプラットフォーム、善意の共有者を保護する規制上のセーフハーバー、そして民間部門の報告を機密インテリジェンスと統合して合成するフュージョンセンターへの政府投資がなければ、2026年の情報共有は参加が増えても高ボリューム・低精度のままで、防御上の価値は限定されるでしょう」と付け加えます。
Condonは「全体としてサイバー市場は、商業的優位を得ようとすること、そしてインテリジェンスを敵対者の手に渡さないようにすることの両面から、民営化とクローズドソースのインテリジェンスへと振れているように思います。しかしサイバーセキュリティ市場は、概して非常に競争的です。脅威インテリジェンスをより広く検証し共有することにビジネス上の優位がある限り、情報共有はコミュニティレベルでも業界レベルでも続くでしょう」と述べます。
サイバーセキュリティにおける情報共有は今後も続く、と彼女は付け加えます。「そして政府がそれらの取り組みを形作り、可能にしたいのであれば、単なる消費者であってはなりません。引き続き能動的な協力者である必要があります」。
Rapid7のMalikは、「米国で情報共有がなくなることはありませんが、政府のみの仕組みから、第三者や他国政府がホストする信頼されたプラットフォームへと移っていくでしょう」と考えています。
情報共有は今後も続き、今後数年で成長し続けるという点では広い合意があります。一方で、それを最もうまく実現する方法については、合意が少ないのです。
最後に
現在の主流の情報共有には、主に2つの問題があります。1つ目は、共有プラットフォームが情報源から情報を取り込んでから、受け手の組織へ配布するまでの時間的遅延です。セキュリティチームは情報を早期に、できれば攻撃が到達する前に必要としており、防御を確実に整えられるようにしなければなりません。
遅延が長いと、その情報は予兆ではなく過去情報になってしまう可能性があります。
2つ目の問題は、多くの情報共有組織の性質です。政府の選好を推進するための政府の手段である傾向があり、政府の優先事項に左右されます。そのためFBIは、進行中の捜査に関連し得る情報を流通させません。同様に、資金は現政権次第で逼迫と十分の間を行き来する可能性があります。
これら2つの懸念を同時に克服できる選択肢は非常に限られていますが、最も有望なのは、CISO同士が直接つながるクローズドなピアツーピアのコミュニティかもしれません。ここでは、質問は数日、場合によっては数時間以内に投げかけられ、回答され得ます。そしてその回答は、懸念を理解し、同じ懸念・問題・攻撃を経験して克服したことのある同業者から返ってくる可能性が高いのです。
翻訳元: https://www.securityweek.com/cyber-insights-2026-information-sharing/
