対象試験と出題頻度
脅威インテリジェンスは、応用情報技術者試験で出題されることがある発展的なセキュリティ用語です。
頻出ではありませんが、近年のサイバーセキュリティ分野で重要性が増している概念なので、余裕があれば押さえておきましょう。
詳細をクリックして確認
応用情報技術者
★☆☆☆☆
ランクD(発展)参考程度
用語の定義
脅威インテリジェンス(Threat Intelligence)とは、一言で言うと「サイバー攻撃に関する情報を収集・分析し、組織の意思決定や防御策に活かすための知見」のことです。
イメージとしては、「敵の動きを事前に察知するための諜報活動」のようなものです。戦争において、敵軍の位置、兵力、作戦計画を事前に把握できれば、的確な防御や先制攻撃が可能になります。サイバーセキュリティでも同様に、攻撃者の動向、手口、標的を事前に把握することで、被害を未然に防いだり、最小限に抑えたりすることができます。
ポイントは「インテリジェンス」という言葉です。単なる「情報(Information)」ではなく、収集した情報を分析・加工して、意思決定に役立つ「知見(Intelligence)」にまで高めたものを指します。生データを集めるだけでは脅威インテリジェンスとは言えません。
📊 情報とインテリジェンスの違い
| 項目 | 情報(Information) | インテリジェンス(Intelligence) |
|---|---|---|
| 内容 | 収集した生データ | 分析・加工された知見 |
| 例 | 「攻撃元IP: 192.168.x.x」 | 「この攻撃者グループは金融業界を標的にしており、来月キャンペーンを計画中」 |
| 活用 | そのままでは活用しにくい | 意思決定・防御策に直接活用できる |
解説
脅威インテリジェンスは、「攻撃を受けてから対応する」従来の受動的なセキュリティから、「攻撃を予測して先手を打つ」能動的なセキュリティへの転換を象徴する概念です。
なぜ脅威インテリジェンスが必要なのか
サイバー攻撃は年々高度化・巧妙化しています。ファイアウォールやIPSといった従来の防御策だけでは、すべての攻撃を防ぐことは困難になっています。また、攻撃を受けてから対応するのでは、被害が拡大してしまうリスクがあります。
脅威インテリジェンスを活用することで、自社が狙われる可能性のある攻撃を事前に把握し、防御を強化できます。また、同業他社が受けた攻撃の手口を学び、同様の攻撃に備えることもできます。さらに、限られたセキュリティリソースを、最もリスクの高い脅威への対策に集中させることが可能になります。
💡 脅威インテリジェンスで収集・分析する情報
① 攻撃者情報:攻撃者グループの特徴、動機、標的となる業界・国
② TTPs:攻撃者の戦術(Tactics)、技術(Techniques)、手順(Procedures)
③ IoC(Indicators of Compromise):攻撃の痕跡・兆候(悪意あるIPアドレス、ドメイン、ファイルハッシュ値など)
④ 脆弱性情報:新たに発見された脆弱性、それを狙った攻撃の有無
⑤ ダークウェブ情報:闇市場で流通する漏えい情報、攻撃予告など
脅威インテリジェンスの3つのレベル
脅威インテリジェンスは、活用する対象や目的によって3つのレベルに分類されます。
戦略的インテリジェンス(Strategic)は、経営層・意思決定者向けの情報です。攻撃者の動機やトレンド、業界全体の脅威動向、地政学的リスクなど、高レベルの視点から脅威を捉えます。セキュリティ投資の優先順位決定などに活用されます。
戦術的インテリジェンス(Tactical)は、セキュリティチーム・アナリスト向けの情報です。攻撃者のTTPs(戦術・技術・手順)を詳細に分析し、防御策の改善に活用します。「この攻撃者はこういう手口を使う」という具体的な手法の理解に役立ちます。
運用的インテリジェンス(Operational)は、SOC担当者・運用者向けの情報です。具体的な攻撃の兆候(IoC)、悪意あるIPアドレス・ドメインなど、即座にセキュリティ機器に反映できる情報です。リアルタイムでの防御に活用されます。
📊 脅威インテリジェンスの3つのレベル
| レベル | 対象者 | 内容・活用例 |
|---|---|---|
| 戦略的 | 経営層、CISO | 脅威の全体傾向、セキュリティ投資判断 |
| 戦術的 | セキュリティチーム | 攻撃者のTTPs、防御策の改善 |
| 運用的 | SOC担当者 | IoC、ブロックルールの即時適用 |
脅威インテリジェンスの入手方法
脅威インテリジェンスは、以下のような方法で入手できます。
オープンソースインテリジェンス(OSINT)として、公開情報から収集します。JPCERT/CCやIPA、セキュリティベンダーのブログ、ニュース記事などが情報源です。無料で入手できますが、情報の取捨選択・分析には専門知識が必要です。
商用脅威インテリジェンスサービスとして、セキュリティベンダーが提供する有料サービスを利用します。分析済みの情報がフィード形式で提供され、SIEMやファイアウォールと連携して自動的に防御に反映できます。
ISAC(Information Sharing and Analysis Center)として、業界ごとの情報共有組織に参加します。金融ISAC、電力ISACなど、同業他社と脅威情報を共有し、業界全体でセキュリティを強化します。
⚠️ 脅威インテリジェンスの課題
① 情報過多:大量の情報が流通しており、本当に重要な情報を見極めるのが難しい
② 活用体制:情報を入手しても、それを防御に活かす人材・プロセス・ツールがないと意味がない
③ 鮮度:サイバー攻撃は変化が速く、古い情報は役に立たない。リアルタイム性が重要
④ コスト:商用サービスは高額な場合があり、中小企業には導入ハードルが高いことも
脅威インテリジェンスは「導入すれば終わり」ではなく、継続的な運用と改善が必要です。
試験ではこう出る!
脅威インテリジェンスは、応用情報技術者試験で出題されることがある発展的なキーワードです。基本的な概念を押さえておけば十分です。
【試験で狙われるポイント】
- 脅威インテリジェンス = サイバー攻撃に関する情報を収集・分析して防御に活かす知見
- 単なる「情報」ではなく、分析・加工された「インテリジェンス」
- 「攻撃を受けてから対応」ではなく「攻撃を予測して先手を打つ」アプローチ
- 戦略的・戦術的・運用的の3つのレベル
- IoC(Indicators of Compromise)= 攻撃の痕跡・兆候
試験問題で「サイバー攻撃に関する情報を収集・分析し、組織の防御策や意思決定に活用する」という記述があれば、それは「脅威インテリジェンス」に関する記述です。
応用情報技術者試験では、脅威インテリジェンスの詳細な分類や、具体的なサービス名までは問われません。「攻撃を予測するための情報活動」という基本概念を理解しておけば十分です。
📊 セキュリティアプローチの比較(試験対策)
| アプローチ | 特徴 |
|---|---|
| 受動的防御 | ファイアウォール・IPSで攻撃をブロック |
| 検知・対応 | SIEM・SOCで攻撃を検知し対応 |
| 脅威インテリジェンス | 攻撃を予測し、先手を打って防御を強化 |
📝 IPA試験での出題ポイント
脅威インテリジェンスは「インテリジェンス(知見)」がキーワードです。単なる情報収集ではなく、分析・加工して「意思決定に活かせる知見」にまで高めることがポイント。
また、「先手を打つ」「予測する」という能動的なアプローチである点が、従来の受動的な防御との違いです。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 脅威インテリジェンスに関する説明として、最も適切なものはどれでしょうか?
- A. ファイアウォールやIPSを使用して、ネットワークへの不正アクセスをリアルタイムで遮断する技術
- B. 複数のシステムからログを収集し、相関分析を行ってセキュリティ上の脅威を検知するシステム
- C. サイバー攻撃に関する情報を収集・分析し、組織の意思決定や防御策に活かすための知見
正解と解説を見る
正解:C
解説:
脅威インテリジェンス(Threat Intelligence)は、サイバー攻撃に関する情報を収集・分析し、組織の意思決定や防御策に活かすための知見です。単なる生データではなく、分析・加工された「インテリジェンス(知見)」である点がポイントです。攻撃者の動向、TTPs(戦術・技術・手順)、IoC(攻撃の痕跡)などを把握することで、「攻撃を予測して先手を打つ」能動的なセキュリティを実現します。
選択肢Aは「ファイアウォール・IPS」の説明です。選択肢Bは「SIEM」の説明であり、いずれも脅威インテリジェンスとは異なります。脅威インテリジェンスは直接的な防御や検知を行うものではなく、「情報の収集・分析」によって防御の質を高めるアプローチです。
