脅威インテリジェンスとは何ですか？

サイバー攻撃の手口・攻撃者・脆弱性などに関する情報を収集・分析し、防御に活用するための知見。

脅威インテリジェンスのポイントは？

Threat Intelligenceの訳で、脅威情報とも呼ばれる。戦術的（IoC：攻撃の痕跡）、運用的（攻撃の手法）、戦略的（攻撃のトレンド）の3レベル。MITRE ATT&CKフレームワークと組み合わせて活用。SOCやCSIRTの意思決定を支える重要な情報源

【きょういいんてりじぇんす】

脅威インテリジェンスとは？

💡 敵を知り、攻撃される「前に」備える

📌 このページのポイント

Threat Intelligenceの訳で、脅威情報とも呼ばれる
戦術的（IoC：攻撃の痕跡）、運用的（攻撃の手法）、戦略的（攻撃のトレンド）の3レベル
MITRE ATT&CK フレームワークと組み合わせて活用
SOCやCSIRTの意思決定を支える重要な情報源

脅威インテリジェンスのイメージ

ひよこ

脅威インテリジェンスって具体的にどんな情報？

ペンギン先生

攻撃に使われるIPアドレスやドメイン名（IoC）、マルウェアのハッシュ値、攻撃者グループの特徴や手口、狙われやすい業界、最新の脆弱性情報など幅広いよ。これらを事前に把握しておけば、攻撃を受ける前にファイアウォールのルールに追加したりできるんだ

ひよこ

どこから情報を入手するの？

ペンギン先生

有料サービス（Recorded Future、CrowdStrike、Mandiantなど）、公開情報（JPCERT/CC、US-CERT、MITRE ATT&CK）、ISACなどの業界間共有（金融ISAC、J-AUTO-ISACなど）が主なソースだよ。ダークウェブの監視で攻撃の予兆を探る高度なサービスもあるんだ

ひよこ

小さい会社でも必要？

ペンギン先生

自社で高度な脅威インテリジェンスチームを持つのは難しくても、EDRやSIEM製品に組み込まれたフィード（脅威情報の自動配信）を活用するだけでも防御力は上がるよ。CrowdStrikeやMicrosoft Defenderなどは脅威インテリジェンスを自動的に防御に反映してくれるんだ

ひよこ

MITRE ATT&CKとの関係は？

ペンギン先生

MITRE ATT&CKは攻撃の手法を体系化したフレームワークで、脅威インテリジェンスの「共通言語」として使われるよ。「この攻撃グループはATT&CKのT1566（フィッシング）とT1059（コマンドライン実行）を使う」のように、攻撃の分類と分析に不可欠なフレームワークだね

まとめ：ざっくりこれだけ覚えればOK！

「脅威インテリジェンス」って出てきたら「サイバー攻撃の情報を事前に収集・分析して防御に活かす知見」と思えればだいたいOK！

📖 おまけ：英語の意味

「Threat Intelligence」＝脅威情報

💬 Intelligence（情報活動・諜報）の名前の通り、サイバー空間の「スパイ活動」的な意味合いを持つよ

← 用語集にもどる

脅威インテリジェンス とは？

脅威インテリジェンスとは？