脅威インテリジェンスとは？サイバー攻撃対策のための活用方法を徹底解説

サイバーセキュリティにおける脅威インテリジェンスとは、サイバー攻撃に関する情報を体系的に収集、分析し、組織の意思決定に役立つ知見として活用するプロセスです。単にマルウェアのハッシュやIPアドレス（IoC: Indicators of Compromise）を並べるだけでなく、その背後にある攻撃者の意図や手法（TTPs: Tactics, Techniques, and Procedures）を深く分析することで、攻撃を予測し、リスクを軽減するためのプロアクティブな対策を支援します。

この脅威インテリジェンスは、セキュリティベンダーのレポートや公開情報（OSINT: Open-Source Intelligence）、そしてマルウェアの検体そのものなど多様な情報源や活動から生成されます。

脅威インテリジェンスの主な活用方法

脅威インテリジェンスは、組織のサイバーセキュリティ体制を多角的に強化するために、様々なシーンで活用されます。以下に主な活用方法を5つ挙げます。

意思決定の支援

脅威インテリジェンスは、経営層がサイバーセキュリティへの投資やリスク管理について意思決定を行う上で重要な情報を提供します。特定の業界や地域を狙うAPT（Advanced Persistent Threat）グループの動向、新たな脅威のトレンド、または特定の脆弱性がビジネスに与える影響などを分析することで、セキュリティ戦略の優先順位を決定する助けとなります。

インシデント対応の迅速化

インシデント発生時、脅威インテリジェンスは事象の背後にある攻撃者の意図や手法（TTPs）を特定するのに役立ちます。これにより、単なるフォレンジック調査に留まらず、攻撃の全貌を素早く把握し、被害の拡大を抑制するための効果的な対策を講じることを支援します。また、攻撃者が利用したIoC（Indicators of Compromise）を早期に特定することで、類似の攻撃に対する防御力を向上させることが期待できます。

セキュリティ監視(SOC)の高度化

脅威インテリジェンスから得られるIoCやTTPsをSOC（Security Operations Center）の監視ツール（SIEMなど）に取り込むことで、未知の脅威や複雑な攻撃手法の早期検知に貢献できます。これにより、セキュリティアラートの精度向上が期待され、アナリストは本当に対応すべき脅威に集中しやすくなります。

脆弱性管理の効率化

日々発見される膨大な脆弱性情報の中から、実際に攻撃者が悪用している、あるいは悪用する可能性が高い脆弱性を特定する助けとなります。脅威インテリジェンスが示す攻撃者の活動と照らし合わせることで、パッチ適用や設定変更の優先順位をつけ、限られたリソースを効果的な防御に集中させることを支援します。

脅威ハンティング

脅威インテリジェンスは、脅威ハンティングの出発点となります。攻撃者が使用するTTPsを基に、組織内のログデータ（SIEMログ、ネットワークトラフィックなど）の中から、既存の防御システムをすり抜けた攻撃の痕跡を能動的に探すことを支援します。これにより、見過ごされている可能性のある侵害を早期に発見し、対処する機会を向上させることが期待できます。

MITRE ATT&CKと脅威インテリジェンス

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）は、サイバー攻撃者が実際に使用する戦術（Tactics）と技術（Techniques）を体系的にまとめた、広く活用されているナレッジベースです。単なる攻撃手法のリストではなく、攻撃のライフサイクル全体を網羅しており、攻撃の各段階でどのようなTTPs（Tactics, Techniques, and Procedures）が用いられるかを詳細に分類しています。

このフレームワークは、サイバーセキュリティの防御側が、攻撃者の視点から脅威を理解し、より効果的な防御策を策定するために、米国の非営利組織MITREによって開発・公開されました。

MITRE ATT&CKフレームワークを活用することは、脅威インテリジェンスの生成に大きなメリットをもたらします。

まず、ATT&CKは攻撃者の行動を体系的に分類した共通言語を提供します。これにより、セキュリティベンダーのレポートや社内のインシデントデータなど、異なる情報源からの脅威情報を一貫した形式で整理し、チーム内外で効率的に共有しやすくなります。

次に、ATT&CKはIoCだけでなく、攻撃者がどのようにシステムに侵入し、データを窃取したかという、より深いTTPsの理解を支援します。この攻撃者の視点での分析は、より実践的で効果的な防御策の策定に役立ちます。

最後に、このフレームワークを使うことで、自社のセキュリティ体制の弱点（防御のギャップ）を特定しやすくなります。これにより、限られたリソースを効果的な防御策に集中させることができ、プロアクティブなセキュリティへの移行を促進します。

参考：https://attack.mitre.org/

ATT&CKの主な活用方法

脅威ハンティング

ATT&CKフレームワークは、脅威ハンティングの出発点として活用されます。攻撃者が使用するTTPs（戦術と技術）を基に、組織内のネットワークログやシステムログの中から、既存のセキュリティツールをすり抜けた攻撃の痕跡を能動的に探すことを支援します。これにより、見過ごされている可能性のある侵害を早期に発見し、対処する機会を向上させることが期待できます。例えば、「特権昇格」のTacticに属する「資格情報のダンプ」というTechnique（T1003）を特定することで、ログから該当するイベントを探し出すことが可能になります。

防御策のギャップ分析

ATT&CKフレームワークは、組織の既存の防御策を客観的に評価するツールとして活用できます。組織内のセキュリティツール（ファイアウォール、EDRなど）やプロセスが、ATT&CKフレームワークのどのTechniqueに対応しているかをマッピングすることで、防御が手薄な「空白地帯」を特定しやすくなります。これにより、セキュリティ投資の優先順位を決定し、最もリスクの高い領域から対策を講じることを支援します。この分析は、セキュリティコントロールの有効性を可視化し、経営層への説明責任を果たす上でも役立ちます。

レッドチームとブルーチームの連携

ATT&CKは、レッドチーム（模擬攻撃チーム）とブルーチーム（防御チーム）の共通言語となります。レッドチームは、ATT&CKの技術を用いて現実的な攻撃シナリオを作成することで、単なる脆弱性スキャンではなく、より実践的な演習を実施できます。一方、ブルーチームは、レッドチームが使用したTTPsを基に、攻撃の検知・防御能力を訓練することができます。この共通のナレッジベースを用いることで、両チーム間の連携が強化され、組織全体の防御能力向上に貢献することが期待されます。

MITRE Engageと脅威インテリジェンス

MITRE Engageは、サイバー攻撃者に対して受動的に防御するだけでなく、能動的に対応するためのアクティブディフェンスに特化したフレームワークです。これは、攻撃者の視点から防御策を考えるATT&CKとは対照的に、防御側が主導権を握り、攻撃者を欺いたり、関与したりするための手法を体系化しています。

このフレームワークの核心は、攻撃者との「エンゲージメント（関与）」を通じて、防御を強化することです。主な目的は、攻撃者が攻撃を成功させるために費やす時間、リソース、労力を増やすこと、そして攻撃者のTTPs（戦術・技術・手順）に関する貴重な脅威インテリジェンスを獲得することにあります。

Engageは、侵入を許したとしても、攻撃者が被害をもたらす前に発見し、その活動から学ぶことを目指します。この考え方は、MITRE ATT&CKフレームワークと相互補完的な関係にあり、両者を組み合わせることで、攻撃者の行動を深く理解し、それに対する具体的な防御策を立て、その有効性を評価するまでの一連のサイバーセキュリティ活動を包括的に支援します。

参考：https://engage.mitre.org/

主要な考え方

MITRE Engageの核心は、攻撃者との「エンゲージメント（関与）」を通じて、防御者に資する結果を得ることです。主な目的は以下の2つです。

• 攻撃者のコストを上げる： 攻撃者が攻撃を成功させるために費やす時間、リソース、労力を増やします。
• 脅威インテリジェンスを獲得する： 攻撃者のTTPs（戦術・技術・手順）に関する貴重な情報を収集し、将来の防御策強化に貢献します。

このフレームワークは、攻撃を完全に阻止するだけでなく、侵入を許したとしても、攻撃者が被害をもたらす前に発見し、その活動から学ぶことを目指します。

ATT&CKとの関係と活用方法

ATT&CKが「攻撃者が何をするか」を示すのに対し、Engageは「防御者が何をするか」を示します。両者は相互補完的な関係にあります。

• ATT&CKで攻撃者の行動を理解する： まず、ATT&CKフレームワークを用いて、攻撃者がどのような手法を用いるかを分析します。
• Engageで関与方法を計画する： 次に、その攻撃者の行動に対して、Engageで定義された関与方法を適用し、攻撃者を欺いたり、行動を誘導したりする計画を立てます。

たとえば、ATT&CKで「資格情報のダンプ」（T1003）という攻撃手法が特定されたとします。これに対し、Engageの防御手法を用いて、偽の認証情報をシステムに配置し、攻撃者がそれにアクセスするように仕向けます。攻撃者が偽情報にアクセスした時点でアラートを発し、活動を観察・記録することで、攻撃者のTTPsに関する脅威インテリジェンスを収集することが期待できます。

ISO/IEC 27001:2022における脅威インテリジェンスの導入

2022年に改訂されたISMSの国際規格 ISO/IEC 27001:2022 では、脅威インテリジェンス（Threat Intelligence）が正式に言及されるようになりました。

ISO/IEC 27001:2022の附属書A（Annex A）では、A.5.7「脅威インテリジェンス」（Organizational controls 内）という管理策が追加されました。この管理策では、組織が関連する脅威インテリジェンスを定期的に収集・分析し、情報セキュリティリスクの評価や対策立案に活用することが推奨されています。

具体的には以下の点が求められます。

• 脅威情報の収集：攻撃者の動向、脆弱性情報、マルウェアのトレンド、サイバー攻撃の手法など、さまざまな外部情報を収集します。
• 脅威の分析：収集した情報を分析し、自組織にとってどのような脅威が存在するか、またそれが与える影響を理解します。
• リスク評価への活用：分析結果をリスク評価に反映させ、より現実的かつ効果的なセキュリティ対策を計画・実施します。

改訂の背景には、サイバー攻撃手法の複雑化・巧妙化があります。従来のISMSでは主に内部の脆弱性やリスクに焦点を当てていましたが、外部の脅威情報を積極的に取り入れることで、よりプロアクティブな情報セキュリティ対策の実現を支援します。

脅威インテリジェンスを活用することで、組織は「いつ」「誰から」「どのような」攻撃を受ける可能性があるかを予測し、先手を打って対策を講じることを支援します。これにより、未知の脅威やゼロデイ脆弱性を悪用した攻撃への対応力向上が期待されます。

参考：https://hightable.io/iso-27001-annex-a-5-7-threat-intelligence/

LLMとMCPを活用した脅威インテリジェンスの生成

サイバーセキュリティの脅威が複雑化する現代において、脅威インテリジェンスは脅威の検知や事後対応への活用にとどまらず、能動的な防御の要となっています。 これまで、脅威インテリジェンスの生成は、専門家による手動のデータ収集や分析に大きく依存してきました。しかし、大規模言語モデル（LLM）の近年の発展は、この状況に変革をもたらす可能性があります。

LLMは、膨大な量の非構造化データ（自然言語のレポート、ブログ、SNSの投稿など）から、攻撃者の意図や手法を抽出し、IoC（Indicators of Compromise）やTTPs（Tactics, Techniques, and Procedures）といった構造化された情報に変換する能力を有しています。このプロセスは、Model Context Protocol（MCP）によってさらに洗練されます。 MCPは、複数のデータソースや解析ツールをLLMと連携させることで、より深く、より正確な脅威分析を支援します。この技術の活用により、脅威インテリジェンスの生成は、人間とAIが協働する新たなフェーズへと移行し、セキュリティチームがより迅速かつ効果的に脅威に対処することを支援することが期待されます。

MCPは、複数のデータソースやモデルを連携させることで、LLMがより深く、より正確な脅威分析を行うことを支援するプロトコルです。これにより、単一のモデルでは困難だった複雑なタスク、例えば、マルウェアのリバースエンジニアリング、複数のレポートにまたがる情報の関連付けや、曖昧な記述から攻撃者の意図を読み解くことを支援します。

サイバーディフェンス研究所は、LLM/MCPを活用することで、以下のような脅威インテリジェンス生成に取り組んでいます。

• AI/LLMにマルウェアの解析を自然言語で指示し実行させる
• OpenCTIに蓄積された情報をLLMが検索してまとめる
• Google Threat Intelligenceを使った調査をLLMに実行させる

まとめ

脅威インテリジェンスは、単なるマルウェアやIoCのリストにとどまらず、攻撃者の意図や手法（TTPs）を体系的に分析し、組織のサイバーセキュリティ体制を強化するための重要なプロセスです。経営層の意思決定支援、インシデント対応の迅速化、SOCの高度化、脆弱性管理の効率化、脅威ハンティングといった多角的な活用により、組織はよりプロアクティブなセキュリティ体制の構築を進めることができます。

国際規格のISO/IEC 27001:2022では、2022年にA.5.7「脅威インテリジェンス」が正式な管理策として追加されるなど今後ますます重要性が高まる領域であり、現代のサイバーセキュリティにおいて組織全体の安全性と信頼性を高めるために重要な活動であると言えるでしょう。

脅威インテリジェンスに関して、より具体的な支援や対応をご希望の方は、弊社が提供する脅威インテリジェンスサービスをご覧ください。組織の目的および業務の内容を踏まえたサービスの選定、機能検証、連携のためのシステムの構築や機能拡張ツールの開発、チームへのトレーニング、高度な技術サービスの提供までをワンストップで支援いたします。