Threat Intelligence Operations

脅威インテリジェンス運用（Threat Intelligence Operations）とは、サイバー脅威に関する情報を体系的に収集・分析・配布し、組織のセキュリティ防御を強化するための継続的な活動です。脅威アクター（攻撃者）の戦術・技術・手順（TTP）やIoC（Indicator of Compromise）を把握し、プロアクティブな防御態勢を構築します。

脅威インテリジェンスは戦略的（Strategic）、戦術的（Tactical）、運用的（Operational）、技術的（Technical）の4つのレベルに分類されます。経営層向けの脅威動向レポートから、SOCアナリストが即座に活用できるIoCフィードまで、各レベルに応じた情報を適切なステークホルダーに届けることが重要です。

効果的な脅威インテリジェンス運用には、TIライフサイクル（計画・収集・処理・分析・配布・フィードバック）の各フェーズを確実に回すことが不可欠です。STIX/TAXIIなどの標準フォーマットを活用し、ISACやCSIRTコミュニティとの情報共有を通じて、単独では得られない広範な脅威情報を取得し、SIEM/SOARと連携して自動化された防御を実現します。

TIライフサイクル（Intelligence Lifecycle）

脅威インテリジェンスライフサイクルは、情報を価値あるインテリジェンスに変換するための体系的なプロセスです。まず計画・方向付け（Direction）フェーズで、組織の優先情報要件（PIR）を定義し、どのような脅威情報が必要かを明確にします。次に収集（Collection）フェーズで、OSINT、HUMINT、技術的ソース、商用フィードなどから情報を収集します。

処理（Processing）フェーズでは、収集した生データを構造化・正規化し、分析可能な形式に変換します。分析（Analysis）フェーズで、処理されたデータを評価・相関分析し、実用的なインテリジェンスを生成します。最後に配布（Dissemination）とフィードバックフェーズで、関連するステークホルダーに適切な形式で情報を配布し、その有効性を評価して次のサイクルに反映します。

STIX/TAXIIによる標準化

STIX（Structured Threat Information eXpression）は、脅威情報を構造化された形式で表現するための標準規格です。攻撃パターン、キャンペーン、マルウェア、脅威アクター、脆弱性などを統一されたJSON形式で記述でき、組織間での情報共有を容易にします。STIX 2.1では、関係性を表現するリレーションシップオブジェクトにより、脅威情報のグラフ構造を表現できます。

TAXII（Trusted Automated eXchange of Intelligence Information）は、STIXオブジェクトを自動的に交換するためのトランスポートプロトコルです。Collection（サーバー側に蓄積されたデータへのアクセス）とChannel（リアルタイムのプッシュ配信）の2つのモデルを提供し、REST APIベースで脅威情報の自動収集・配布を実現します。

TIP（Threat Intelligence Platform）

TIPプラットフォームは、脅威インテリジェンスの収集・管理・分析・配布を一元的に行うための専用基盤です。代表的なTIPとして、MISP（Malware Information Sharing Platform）、ThreatConnect、Anomali ThreatStream、Recorded Futureなどがあります。TIPは複数のフィードソースからの情報を統合し、重複排除・信頼性スコアリング・エンリッチメントを行います。

TIPの重要な機能として、IoCの自動エンリッチメント（WHOISやVirusTotalとの連携）、MITRE ATT&CKフレームワークへのマッピング、SIEM/SOAR/ファイアウォールへの自動配信などがあります。これにより、アナリストは膨大な脅威データから実用的なインテリジェンスを効率的に抽出できます。

ISACによるインテリジェンス共有

ISAC（Information Sharing and Analysis Center）は、業界ごとに設立された脅威情報共有組織です。金融ISAC（FS-ISAC）、医療ISAC（H-ISAC）、自動車ISAC（Auto-ISAC）など、業界固有の脅威情報をメンバー間で共有し、業界全体のセキュリティレベル向上を図ります。

ISACでは、メンバー組織が匿名化されたインシデント情報やIoCを共有し、業界固有の脅威動向レポートや早期警戒情報を提供します。また、TLP（Traffic Light Protocol）により情報の共有範囲を制御し、機密性を担保しながら効果的な情報共有を実現します。

SIEM/SOARとの統合

脅威インテリジェンスの真価は、セキュリティ運用ツールとの統合によって発揮されます。SIEMとの統合では、IoCフィードを活用したリアルタイム検知ルールの自動生成、ログデータとの相関分析によるアラートのエンリッチメント、過去ログの遡及的検索（レトロハンティング）が可能になります。

SOARとの統合では、脅威インテリジェンスをトリガーとした自動対応プレイブックの実行が実現します。例えば、TIPで新規IoCが検出された際に、自動的にファイアウォールのブロックリストを更新し、該当するIoCに一致するログを検索し、影響を受ける可能性のある資産を特定するワークフローを自動実行できます。

• 01
  優先情報要件（PIR）の明確な定義：組織のビジネスリスクと脅威ランドスケープに基づいて、収集すべき脅威情報の優先順位を明確に定義してください。漫然とした情報収集は分析リソースの浪費につながるため、「自社業界を標的とするAPTグループの最新TTPs」など具体的な要件を設定しましょう。
• 02
  複数ソースからのフィード統合と品質評価：商用フィード、OSINT、ISAC、政府機関（CISA、JPCERT/CC）など複数のソースから情報を収集し、各ソースの信頼性・鮮度・関連性を定期的に評価してください。単一ソースへの依存は情報の偏りや盲点を生むリスクがあります。
• 03
  STIX/TAXII標準フォーマットの採用：脅威情報の表現・交換にはSTIX/TAXIIなどの標準規格を採用し、ツール間・組織間での相互運用性を確保してください。独自フォーマットは長期的な運用コストを増大させ、情報共有の障壁となります。
• 04
  TIPによる一元管理と自動エンリッチメント：TIPプラットフォームを導入し、脅威情報のライフサイクル全体を一元管理してください。IoCの自動エンリッチメント、重複排除、信頼性スコアリング機能を活用し、アナリストの分析効率を向上させましょう。
• 05
  SIEM/SOARとのリアルタイム連携：TIPからSIEM/SOARへのフィード自動配信を設定し、脅威インテリジェンスに基づくリアルタイム検知と自動対応を実現してください。IoCの自動ブロック、レトロハンティング、アラートエンリッチメントなどのワークフローを構築しましょう。
• 06
  情報共有コミュニティへの積極的参加：業界ISACやCSIRTコミュニティに参加し、脅威情報の受信だけでなく、自組織で検出した脅威情報の共有も積極的に行ってください。TLPを適切に運用し、情報の機密性を担保しつつ、業界全体のセキュリティ向上に貢献しましょう。