サイバーインテリジェンスサイクル(インテリジェンスサイクル)とは、実効性のあるサイバー(脅威)インテリジェンスを生産するため、意思決定者のニーズに基づいて情報を収集し、生データを分析・処理した上で、目的の達成に向けた行動に必要なインテリジェンスを作成・共有する一連の流れです。
インテリジェンスサイクルは通常、以下の5ステップで構成されています。
- ①計画・方向性:インテリジェンス活動の最終目的やメインのタスクである「インテリジェンス要件」(優先的インテリジェンス要件、PIRと表現されることも)を定義する。その後の全アクションの方向性が決まる非常に重要な出発点。
- ②収集:インテリジェンス要件に基づいて実際にデータを収集する。データの収集源(データソース)や収集すべき情報の種類は要件によって変わり、場合によっては多種多様なソースから大量のデータを集める必要があるものの、ツールを使って自動化が可能。
- ③処理:収集されたデータの標準化、構造化、重複排除を行う。生データを構造化された形式に変換して人間(アナリスト)が分析しやすい状態にするステップで、「加工」と呼ばれることもある。データのクリーニングと整理、不整合の除去、IPアドレスと既知の攻撃者との関連付けといった背景情報(コンテキスト)の追加が含まれ、ツールを用いて自動で行われるのが一般的。
- ④分析・生産:処理されたデータを綿密に分析し、想定される活用者の意思決定に繋がる実用的なインテリジェンスに変換する。アナリストが自動化ツールや自らの知識とスキルを使って分析を行い、コンテキストや既知の情報との相互関連性を踏まえ、想定される影響や今後生じ得るリスクなどについて評価する。
- ⑤共有・フィードバック:完成した成果物を活用者に配布し、フィードバックを受け取る。成果物のフォーマットや書式は活用者によって異なり、配布方式や頻度も変わる。
「サイクル」というように、各ステップを一周したら終わりではありません。共有されたインテリジェンスを基に新たな方向性(要件)が定まり、再び情報を収集して分析・処理・生産・共有を繰り返すことでインテリジェンスが改善され、継続的な運用が可能になります。
インテリジェンスサイクルは軍事・諜報分野に端を発し、長年にわたる理論的裏付けと実務的検証を経て体系化されたプロセスです。これをテンプレートとして各ステップを順番にこなしていくことで、構造的かつ体系的にサイバーインテリジェンス活動を実施することができます。
日々進化する脅威の機先を制するには、守る側でも新しいテクノロジーや戦略、フレームワークを採用し、これまで以上に効率的なセキュリティ体制を構築する必要があり、インテリジェンスサイクルはその強力な武器の1つとされています。
またインテリジェンスサイクルは、PDCAサイクル(計画、実行、測定・評価、対策・改善の仮説・検証型プロセスを循環させ、マネジメントの品質を高めようという概念)を踏まえた継続実施を前提にしています。効果的なサイバーインテリジェンスプログラムを作成・維持するには、インテリジェンスサイクルについてよく理解しておくことが大切です。
サイバーインテリジェンスサイクルについて、さらに詳しくはこちらの記事もご覧ください:












