スレットインテリジェンス

スレットインテリジェンス（Threat Intelligence、脅威インテリジェンス）とは、サイバー攻撃者の意図、能力、手口、使用ツールなどに関する情報を収集・分析し、組織の防御活動に役立つ知識（インテリジェンス）へと昇華させたものです。単なるデータではなく、実行可能な知見を提供します。

脅威インテリジェンスの重要性

現代のサイバー攻撃は高度化・組織化しており、攻撃者は国家支援型のAPT（Advanced Persistent Threat）グループから、ランサムウェアを提供するRaaS（Ransomware as a Service）事業者まで多岐にわたります。これらの攻撃者に対抗するためには、単なる攻撃ログやIPアドレスのリストではなく、「誰によって」「どのような目的で」「どのように」行われたのかというコンテキスト（文脈）が不可欠です。

脅威インテリジェンスの3つのレベル

脅威インテリジェンスは、利用者と目的に応じて以下の3つのレベルに分類されます：

1. 戦略的インテリジェンス（Strategic Intelligence）

経営層や意思決定者向けの情報です。特定の攻撃グループの動向、地政学的リスク、業界全体を狙う攻撃キャンペーンなど、大局的なリスク判断に用いられます。レポート形式で提供されることが多く、セキュリティ投資の優先順位付けに活用されます。

2. 戦術的インテリジェンス（Tactical Intelligence）

セキュリティ管理者やアーキテクト向けの情報です。攻撃者のTTPs（Tactics, Techniques, and Procedures：戦術・技術・手順）を理解し、防御システムの強化に役立てます。MITRE ATT&CKフレームワークとの対応付けがよく行われます。

3. 運用・技術的インテリジェンス（Operational/Technical Intelligence）

SOC（セキュリティオペレーションセンター）やCSIRT（インシデント対応チーム）の現場担当者向けの情報です。不正なIPアドレス、マルウェアのハッシュ値、フィッシングドメインなど、即時の検知・遮断に用いるIoC（Indicators of Compromise：侵害の痕跡）が含まれます。

脅威インテリジェンスの活用方法

効果的な脅威インテリジェンスの活用により、組織は受動的な対応から能動的な防御（プロアクティブ・ディフェンス）へとシフトできます。具体的には、攻撃の予兆を検知して先手を打つ、自組織が標的となりやすい攻撃手法を把握して対策を強化する、インシデント発生時に攻撃者を特定し適切な対応を取るなどが可能になります。

脅威インテリジェンスの情報源として、オープンソース（OSINT）、商用フィード、ISAC（Information Sharing and Analysis Center）などの業界団体、政府機関からの情報提供があります。