脅威インテリジェンス

「脅威インテリジェンス」とは、サイバー脅威からの自衛に関連する意思決定を支援する情報や知見、分析結果などを指します。「脅威情報」と呼ばれる情報セキュリティ関連の脅威に関するあらゆる情報やデータを集め、分析し、意思決定に役立つ形へと加工したものが脅威インテリジェンスです。

そもそも「インテリジェンス」とは元々軍事の領域で生まれた概念で、大まかに言うと「敵対者を理解するための情報」のことを指しています。ただし、「情報」と言っても、

①ある程度の予測を提供できること、

また、

②意思決定を支援できること、

の2点において、単なる「情報」や「データ」とは異なります。逆に言うと、集めた多数のデータや情報を分析し、①と②の役割を持つ形へと変換したものがインテリジェンスだと言えます。

脅威インテリジェンスは、その名の通り「脅威に関するインテリジェンス」であり、サイバー脅威（軍事分野で言うところの敵対者）を理解するための情報と捉えることができます。このため、「サイバー脅威インテリジェンス（Cyber Threat Intelligence）」とも呼ばれており、英語の資料では略して「CTI」と表記されることがあります。

脅威インテリジェンスは、その活用目的に応じて以下の3種類に分類されます。

　　①「戦略インテリジェンス」：組織の幹部による長期的な活用を想定

　　②「運用インテリジェンス」：セキュリティチームのマネージャー層による短〜中期的な活用を想定

　　③「戦術インテリジェンス」：SOC（Security Operation Center）による短期的な活用を想定

戦略インテリジェンスは、経営層やCISO、事業部長など組織の幹部がサイバーセキュリティ戦略を計画する際の意思決定を支援する役割を持ちます。俯瞰的で、非技術的な情報を多く含むのが特徴です。

運用インテリジェンスは、主にセキュリティチームのマネージャーなどが短〜中期的なセキュリティ改善を行う際の意思決定を支援するインテリジェンスです。技術的な情報と非技術的な情報の両方を含みます。

戦術インテリジェンスは、SOC担当者向けのインテリジェンスで、日々のセキュリティ運用において短期的にインシデントの予防・検知・対応に役立てられます。3種類のインテリジェンスの中で最も具体性が高く、技術的な情報が主となります。

＜表：各インテリジェンスの具体例＞

脅威インテリジェンスやインテリジェンスについてさらに詳しくは、こちらの記事もご覧ください：

• 「脅威インテリジェンスとは？種類や必要性をわかりやすく解説」

• 「脅威インテリジェンスの国内における活用例と活用のヒント」

• 「『サイバーインテリジェンス』と『脅威インテリジェンス』の違いとは？」