本記事では、セキュリティ担当者向けに、脅威インテリジェンス(CTI)とサイバーリスク管理の連携方法を解説します。
「CTI(脅威インテリジェンス)を導入しているのに、経営層への説得力がいまひとつ…」 「リスク管理と現場のセキュリティ対策が噛み合わず、脆弱性対応が後手に回ってしまう…」 そんなお悩みを抱えるCISOやセキュリティ担当者に向け、本記事ではCTIとサイバーリスク管理の連携ノウハウを解説します。脆弱性優先度付け、ランサムウェア対策、サプライチェーンリスクなど、具体的な事例を交えながら、経営層を納得させるリスク評価と最適な防御策を同時に実現する方法をご紹介します。
Mandiant の脅威インテリジェンスアドバイザーである Jamie 氏と、同僚の John 氏。二人が 約26分にわたり発表した 「Solving CISO Headaches: How to Align CTI and Risk Management」の動画の内容をベースにしています。
脅威インテリジェンス(CTI)チームとサイバーリスク管理(リスク)チームは、企業・組織のセキュリティを支える 2 つの異なる視点を持つ専門部署です。両者が何を担当しているかを簡単に整理すると以下のとおりです。
| 部署・チーム | 主な担当領域 | 主なアウトプット・成果物 |
|---|---|---|
| CTI チーム | - 外部攻撃者の手口(TTP)リサーチ - マルウェア分析、脆弱性情報収集 - インシデント発生時の技術的支援 - 攻撃動向レポート作成 |
- 脅威レポート(例:APTグループの攻撃キャンペーン) - IOC(Indicators of Compromise)の提供 - 脆弱性情報の早期認識や攻撃事例 |
| リスクチーム | - 自社システム・データに対するリスク評価 - 経営層・マネジメントへの報告・提案 - 保険・コンプライアンス対応 - 他部門とのリスクコミュニケーション |
- リスクアセスメント(例:ビジネス影響、金銭的損失試算) - リスク対応計画(保険の利用、コントロール強化) - 全社リスク報告書(経営層向け) |
CTIチームは「どんな攻撃が“今”流行しているか」「攻撃グループはどんな戦術を使うか」を把握し、現場へ技術的インプットを行います。
リスクチームは「それが自社ビジネスにどう影響するか」「どれぐらい予算を割くべきか」を経営層や他部門に伝える役割が大きいです。
動画では、Jamie 氏と John 氏による講演の中で、CTI とリスク管理が類似のサイクルを持ちながら用語や焦点が異なるため連携が難しいと指摘されています。下記の表は CTI ライフサイクル と リスク管理ライフサイクル を対比し、それぞれの段階で何を目的にしているかを解説したものです。
| CTIのライフサイクル | 解説 | リスク管理ライフサイクル | 解説 |
|---|---|---|---|
| Plan (計画) | ステークホルダー分析や要件定義を行い、「どんな脅威情報を収集・提供すべきか」を計画。 | Plan (計画) | 組織全体のリスク管理方針を定め、どのリスクを優先的に評価・対応するかの大枠を決める。 |
| Collect (収集) | OSINT、ダークウェブ、攻撃者コミュニティなど幅広いソースから脆弱性・攻撃情報を収集。 | Identify (特定) | 自社システムや業務プロセスで「どんなリスク要素があるか」を洗い出す。資産と脅威要因の特定が中心。 |
| Analyze (分析) | 収集情報を精査し、マルウェア分析や TTP(攻撃手口)の関連付けを行う。優先度や攻撃グループの意図を推定。 | Analyze (分析) | 特定したリスクを定量・定性評価し、ビジネス影響や発生確率を算出。組織にとってどれほど深刻かをランク付け。 |
| Produce (報告・生成) | 分析結果をレポート化(例:APT動向、緊急脆弱性情報など)し、関係部門へ提示。 | Respond (対応) | 優先度に応じて対策を実施(コントロール強化、保険適用、ガイドライン整備など)。リスクを低減・回避する段階。 |
| Share / Feedback (共有) | SOC やリスクチーム、経営層などに情報を共有し、フィードバックを得る。次の Plan に反映。 | Monitor / Adjust (監視・調整) | リスク発生状況をモニタリングし、定期的に評価を見直す。必要に応じて計画や対策を更新し、次のサイクルへ。 |
- CTI: 攻撃者視点の外部情報(攻撃手口・脆弱性悪用状況など)を中心に収集・分析
- リスク管理: 自社の資産・業務優先度をベースに脅威を定量・定性評価し、対応策を推進
この2つを連携させることで、外部の脅威動向と内部のリスク評価が噛み合い、効果的な防御・対策が可能になります。
(該当時間の目安:0:00~5:00)
Jamie 氏と John 氏によると、企業内で CTI とサイバーリスク管理が連携しない現状を問題視していました。リソース不足や経営層への説明不足がある一方、分業が進みすぎており、重複作業や不十分なコラボレーションが起きているとのこと。
(該当時間の目安:5:00~10:00)
多くの組織では、「CTIは技術者向け」「リスク担当は現場に疎い」など、誤解や専門用語の違いが連携のブロックになっています。ところが、実際は ゼロサムではなく相乗効果が得られるとのこと。
サイバーリスク: 情報資産へのリスクを定義・分析・評価し、組織全体のリスクマネジメントを行う領域。
サイバーリスクと脅威インテリジェンスはそれぞれ独自の領域を持ちながら、真ん中の重なり合う部分で協力することで、より効率的かつ強固なセキュリティを構築できます。(該当時間の目安:10:38)
図の内容は下記のとおりです。
| Cyber Risk (左円) | 共通 (両チームの関心領域) | Threat Intelligence (右円) |
|---|---|---|
| - Risk assessments ビジネス視点でのリスク評価 - Backup strategy バックアップ戦略 - Continuity of business operations 事業継続計画 (BCP) - Auditing 監査・評価プロセス - Compliance Resilience 規制対応やコンプライアンス強化 - Disaster recovery strategy 災害復旧計画 |
- Cyber threat landscape どんな脅威がどの業種・システムを狙うかの全体像 - Risk calculation 脅威頻度×ビジネス影響の算出 - Vulnerability and patch management 脆弱性やパッチを優先度付けし管理 - Threat modelling 攻撃可能経路の可視化と対策計画 - Countermeasures 具体的な防御策・検知策を検討 - IP theft 知的財産の窃取リスク |
- Attacker techniques 攻撃者の各種テクニック - TTPs (Tactics, Techniques, Procedures) 攻撃の戦術・手法・手順 - Hunt teams 潜伏攻撃を proactively 探索するチーム - Malware analysis マルウェアの静的・動的解析 - Adversary campaigns 攻撃者グループが展開するキャンペーン - Intrusion sets 攻撃者が用いる共通ツールやインフラ - Adversary tradecraft 難読化やステルス化など攻撃者の熟練技術 |
(該当時間の目安:10:00~15:00)
脅威インテリジェンスのライフサイクル(ステークホルダー分析、要件定義、レポート化など)をそのままリスク部門に“移植”する形で適用すると、大きな成果が得られます。特に CTIチームは教育者の立場になって、リスク担当や経営層が理解しやすい形で情報をまとめるのが鍵です。
この図では、脅威 (Threat) を構成する3つの要素と、組織がどこをコントロールできるかを示しています。また、右側の円(Venn diagram)では、脅威情報・自社技術スタック・既存セキュリティ制御の重なり合う部分が“リスク低減のフォーカスポイント”となることを示唆しています。
ポイント:
組織としては、意図や能力を変えるのは難しいが、「Opportunity(機会)」を減らすことは可能。つまり、攻撃面を小さくし、脆弱性を優先度高く修正するなどで、Relevant Threat(実際に成立し得る脅威)を効果的に低減できる。
右側の円では、Adversary Threats and Trends(攻撃者の脅威動向)、Integrated Tech Stack(統合された自社の技術基盤)、Existing Security Controls(既存のセキュリティ対策)という3要素が重なり合っています。中央に重なる箇所は、「脅威の実態」と「自社の防御策」「利用可能な技術」が交差する部分であり、
という一連の流れが示されます。
たとえば、CTIが“脅威情報の提供”をResponsibleとし、リスク担当は“経営層への報告”を責任範囲にする――など各フェーズで誰が主体となるかを定義すれば、混乱が減り、意思決定のスピードが上がります。
RACIマトリックス: 誰が責任を持つか(Responsible, Accountable, Consulted, Informed)を明確にする役割定義手法
Activityのぞれぞれの行について説明します。
| 作業内容 (Activity) | 担当者 (Responsible: R) | 最終責任者 (Accountable: A) | 相談先 (Consulted: C) | 共有先 (Informed: I) |
|---|---|---|---|---|
| Identify and document cyber threat factors (脅威要因の特定と文書化) | CTI | CTI | IT Leadership (ITリーダー) | Risk (リスクチーム) |
| 作業内容 (Activity) | 担当者 (Responsible: R) | 最終責任者 (Accountable: A) | 相談先 (Consulted: C) | 共有先 (Informed: I) |
|---|---|---|---|---|
| Lead cyber risk assessments (サイバーリスク評価を主導) | Risk (リスクチーム) | Risk (リスクチーム) | CTI | IT Leadership (ITリーダー) |
| 作業内容 (Activity) | 担当者 (Responsible: R) | 最終責任者 (Accountable: A) | 相談先 (Consulted: C) | 共有先 (Informed: I) |
|---|---|---|---|---|
| Develop threat models (脅威モデルの開発) | IT Security (セキュリティ部) | IT Security (セキュリティ部) | Risk (リスクチーム), CTI (脅威チーム) | IT Leadership (ITリーダー) |
| 作業内容 (Activity) | 担当者 (Responsible: R) | 最終責任者 (Accountable: A) | 相談先 (Consulted: C) | 共有先 (Informed: I) |
|---|---|---|---|---|
| Validate cyber threats to crown jewels (最重要資産への脅威検証) | CTI (or red team) (脅威チーム等) | Risk (リスクチーム) | Risk (リスクチーム) | IT Leadership (ITリーダー) |
(該当時間目安:18:15
CTI分野とリスク管理分野がそれぞれ利用しているフレームワークを対比し、どのようなワークフローで連携できるかを解説します。
下記の表は、左側に Cyber Security / CTI 分野で使われる典型的なフレームワーク群、右側に Risk Management(リスク管理)で採用される主要フレームワークを示し、その中央には両方にまたがる定量分析や情報共有のためのモデルが記載されています。
上図の各種フレー厶ワークの概要とリンクを掲載します。
| Cyber Security / CTI(図中の左) | 共通(定量分析・情報共有)(図の重なる部分) | Risk Management(図の右) |
|---|---|---|
| Diamond Model of Intrusion Analysis 攻撃者、被害者、インフラ、能力(TTP)で体系的に理解。 |
FAIR 定量的な情報リスク分析モデル。 |
NIST Risk Management Framework システムや情報資産のリスク管理プロセス。 |
| MITRE ATT&CK 攻撃手口・技術(TTP)のナレッジベース。 |
VERIS インシデント記録・共有のための共通語彙。 |
NIST Risk Framework Profiles 組織・業種に合わせたリスク管理の考え方。 |
| Lockheed Martin’s Cyber Kill Chain 複数フェーズに分けた攻撃の可視化。 |
ISF Quantitative Techniques in Information Risk Analysis 定量的リスク分析の手法。 |
|
| The Mandiant Targeted Attack Lifecycle ターゲット型攻撃ライフサイクル。 |
OWASP’s Risk Rating Methodology Webアプリ脆弱性評価のリスクレイティング方法。 |
|
| The Unified Cyber Kill Chain 従来モデルを統合・拡張した攻撃プロセス。 |
上記のように、CTI / サイバーセキュリティ分野は攻撃者視点のモデルが多く、リスク管理ではビジネスインパクトやコンプライアンスを重視するフレームワークが中心です。中央部分のモデル(FAIR、VERISなど)は、両者をブリッジする定量分析や情報共有規格として機能しますので中央部分のモデルをベースに両者が協力できるでしょう。
では、具体的に CTI がどの段階でリスク管理に情報を提供し、リスク側がどう活用するか を可視化すると、どうなるのでしょうか。次の図を使って CTI のライフサイクルとリスク管理のライフサイクルの重なり合いを見ていきましょう。
この図では、以下のような情報フローが矢印で示されています:
ポイント:
CTI 側の情報が「何がどう脅威か」を示し、リスク側が「自社のどこにどれだけ影響があるか」を評価する。この循環を両チームで繰り返すことで、リアルタイムに変化する攻撃リスクへ効率良く対応できるようになります。
(該当時間の目安:20:00~25:00)
動画中で示された 脆弱性の優先度付け / ランサムウェアとサイバー保険 / サプライチェーンリスク の事例を取り上げます。
脆弱性の優先度付け
ゼロデイ・ワンデイ脆弱性の早期キャッチ:
多くの脆弱性管理ツールは公的なデータソース(CVEベース等)をもとに検知するため、“出たばかり”の脆弱性を把握しづらい場合があります。
一方、CTI ではダークウェブ監視や攻撃者コミュニティ追跡により、未登録のゼロデイ・ワンデイ情報を先回りで入手できる可能性が高いです。
こうした早期情報を脆弱性管理プラットフォームへフィードバックし、組織内システムの影響度を即座に照合すれば、緩和策や防御策を先行して適用できるメリットが期待できます。
ランサムウェアとサイバー保険
サプライチェーンリスク
本動画では直接触れられていませんが、脆弱性管理の脅威とリスクの両面から対応優先度を判断可能なフレームワークとして「SSVC(Stakeholder-Specific Vulnerability Categorization)」があります。
CVSSスコアだけでなく、企業のビジネス影響度やリアルタイムのエクスプロイト状況を決定木方式で評価するアプローチです。CTI とリスクの両方の観点を統合しやすく、FutureVuls のような脆弱性管理ツールと組み合わせれば効果的。
| Decision Point | リスク的観点 (Impact/Business) ビジネスに与える影響度や金銭的損失を評価 |
CTI的観点 (Threat/Exploitation Status) 攻撃者が実際に使っているか、流通しているエクスプロイトの有無など |
|---|---|---|
| Exploitation Status | 組織内での発見状況、報告事例など すでに検知されているか、未対策のままか |
攻撃者がどの脆弱性を使っているか、活発度合い APTやサイバー犯罪者グループが本格的に悪用しているか |
| Exposure | システムのインターネット露出 攻撃者から到達可能な範囲かどうか |
Nessus や Shodan などの結果から、外部攻撃面をCTIチームが補足 実際に公開されているポートやサービスを把握 |
| Automation Potential | 緊急修正が必要か、他の対策との兼ね合い 事業優先度に応じた対応速度の検討 |
攻撃が自動化されるか(ボットネット化、スクリプト量産) 大規模キャンペーン化の危険性、ツール化の度合い |
| Mission/Business Impact | 金銭的損失・サービス停止リスク 該当システムが基幹かどうか |
CTIが被害規模や業界動向を補足することで優先度アップ 同業他社が既に攻撃を受けている事例など |
- Exploitation Status: 攻撃者が実際にどの脆弱性を使い始めているか、PoCコードが出回っているかを示す指標。
- Exposure: システムやサービスがインターネット上にどの程度公開されているか。
- Automation Potential: 攻撃が自動化され、大規模に拡散する危険性。
- Mission/Business Impact: システム停止時の金銭損失や事業への影響度合い。
SSVC を導入することで、ゼロデイ・ワンデイ情報の早期認識など CTI独自のインプットを反映し、「今すぐ取り組むべき脆弱性」と「後からでも間に合う脆弱性」を合理的に仕分けられます。
動画では、脅威インテリジェンスとサイバーリスク管理を連携させることで、次のようなメリットがあると強調されています。
企業のセキュリティ担当者としては、脆弱性管理ツールやCTIの導入を検討するだけでなく、リスク管理部門との連携体制を整えることで、より実践的なセキュリティ強化が期待できるでしょう。
FutureVuls ではSSVCをベースにした脆弱性の自動優先度付けや、脅威情報を用いた脆弱性管理に対応しており、貴社のリスク管理を強力にサポートできます。
徹底的に自動化された脅威ベース・リスクベースの脆弱性管理に興味があれば、ぜひFutureVulsまでお問い合わせください。