関連するソリューション
セキュリティサービス
セキュリティ製品
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト 輿石 香豪 
こんにちは。桜の季節となりましたが、皆様いかがお過ごしでしょうか。
春らしいやわらかな風を感じる日も増えてきて、気持ちも少しホッとするような時期になりました。新しい出会いや環境の変化が多い時期でもありますが、街を歩いていると、淡いピンクの色が目に入り、ふと足を止めたくなるような、そんな穏やかな季節です。4月初旬は雨の日が続きましたが、晴れ間がのぞいた時に、満開の桜はもちろん、咲き始めのやわらかな表情にも、この季節ならではの良さを感じます。
春らしいやわらかな風を感じる日も増えてきて、気持ちも少しホッとするような時期になりました。新しい出会いや環境の変化が多い時期でもありますが、街を歩いていると、淡いピンクの色が目に入り、ふと足を止めたくなるような、そんな穏やかな季節です。4月初旬は雨の日が続きましたが、晴れ間がのぞいた時に、満開の桜はもちろん、咲き始めのやわらかな表情にも、この季節ならではの良さを感じます。
写真はこの季節にいつも歩いている桜並木の桜ですが、今年も変わらずきれいな景色を見せてくれました。咲きそろった桜はもちろんのこと、風に揺れる枝や、足元にそっと落ちた花びらにも春らしさを感じます。忙しい毎日の中でも、こうして季節の景色に目を向ける時間は、気持ちを少し落ち着かせてくれる大切なひとときだなと思います。
先に情報を知ることで、守り方は変わる
弊社は先日の2026年3月24日~27日にかけて開催されたSecurity Days Spring 2026 Tokyoに「脅威インテリジェンス 活用支援サービス」をテーマに出展いたしました。また、26日の午後には弊社のテクニカルスペシャリストの青山氏によるセッション「脅威インテリジェンスの歩き方~攻撃を先読みするセキュリティ戦略~」もセミナーで講演を行いました。
Security Days Tokyoでの出展ブースの様子
展示ブースやセッションの場では、非常に多くの方にお立ち寄りいただき、脅威インテリジェンスという言葉への関心の高さを改めて実感しました。一方で、「重要なのは分かるが、実際にはどのように役立つのか」「自社でどう生かせばよいのか」という声も少なくありません。確かに、脅威インテリジェンスという言葉には、どこか専門的で難しい印象があるかもしれません。しかし、その本質は決して特別なものではなく、変化の兆しを少し早く知り、状況が大きく動く前に備える、というごく自然な考え方にあります。私たちは日々の暮らしの中でも、実は同じような判断を何度もしています。そう考えると、脅威インテリジェンスもずっと身近なものとして捉えやすくなるのではないでしょうか。
年始に書いたコラムではガソリンのレギュラーが1リットルあたり130円台、ハイオクが140円台というお話を書きました。それからわずか3ヶ月後ですが、先日、「ガソリン価格が近く1リットル180円に迫る」という情報をテレビやネットニュースで見かけました。日常的に車を使う立場としては、決して無視できる話ではありません。
どうせ近いうちに給油は必要になるならば、価格が上がる前に済ませておこうと考え、値上がり前のタイミングで給油しました。
結果として、数日後には実際に価格が上昇し、後から給油する場合と比べて支出を抑えることができました。
カーナビでの渋滞情報や通行止めの案内を見てルートを変えた経験もあると思います。いつもの道が「渋滞や事故で詰まっている」と分かれば、多少遠回りでも別の道を選んだ方が結果的に早いことがあります。逆に、何も知らずにそのまま進んでしまうと、列に巻き込まれてからようやく状況が分かり、引き返すにも引き返せない、ということにもなりかねません。大切なのは、事故そのものをどうにかすることではなく、その影響を受ける前に進み方を変えられることです。先の状況を少し知っているだけで、こちらの動き方は大きく変わります。
天気予報を見て予定を変える、というのも似た話かもしれません。午後から雨が降ると分かっていれば、午前中のうちに買い物を済ませたり、洗濯物を早めに取り込んだりと、人は自然に行動を変えています。雨が降ってから慌てるより、降る前に動いておいた方が楽だと、経験的に知っているからです。予報が完全に当たるかどうかよりも、「雨が降りそうだ」という情報を先に得ていたことの方が大きいのだと思います。
体調管理の場面でも、同じようなことはあります。たとえば、インフルエンザが流行し始めたという話を聞くと、手洗いや睡眠を少し意識したり、人混みを避けたり、早めに休もうとしたりします。すでに体調を崩しているわけではないのに、そうやって行動を変えるのは、「流行っているらしい」という情報があるからです。もちろん、それで絶対に防げるとは限りません。それでも、何も知らずに普段通りに過ごすのと、気をつけながら過ごすのとでは、結果に差が出ることがあります。ここでもやはり、価値があるのは起きた後の対処だけではなく、起きる前に備えられることです。予兆を知ることで、こちらの姿勢が少し変わる。その積み重ねは意外と大きいものです。
「先に動く」をセキュリティに置き換えると
以上のような出来事は、私たちの日常のさまざまな場面で起きています。ここで重要なのは、「事前に得た情報を基に行動した」ということです。
こうして見ていくと、「起きる前に備える」という考え方は、決して特別なものではありません。むしろ私たちは日々、ごく自然にそうした判断を重ねながら暮らしています。そして、この考え方を企業のセキュリティに置き換えたものこそが、脅威インテリジェンスです。
セキュリティ対策というと、何かが起きた後にアラートを確認し、ログを調べ、原因を追い、影響範囲を見極める――そうした事後対応のイメージがあります。しかし、攻撃のスピードが増し、手口が巧妙になる今、後追いだけでは守りきれない場面が確実に増えています。
脅威インテリジェンスの価値は、まさにそこにあります。自社を狙う可能性のある攻撃者の動き、特定の業界で増えている攻撃手法、悪用され始めた脆弱性、流出した認証情報、ダークウェブ上の不穏な兆候――そうした情報を先に捉えることで、企業は「攻撃されてから反応する」のではなく、「攻撃される前に備える」ことができます。
これは単なる情報収集ではありません。自社に関係のある脅威を見極め、優先順位をつけ、限られた時間や人員をどこに集中させるべきかを判断するための材料です。
制度にも求められ始めた「先に備える力」
こうした考え方は、すでに制度の面でも重視され始めています。たとえば、経済産業省と内閣官房国家サイバー統括室が進めている「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」(サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針 )は、企業ごとに異なるセキュリティ要求へ個別に対応しなければならない現状や、取引先の対策状況が外からは見えにくいという課題に対して、共通の要求事項と評価基準を設け、その取組状況を「見える化」するための仕組みとして整備が進められています。
取引の中で、発注側が受注側に必要な対策レベルを★で示し、その実施状況を確認していくことが想定されており、★3や★4については2026年度末頃の制度開始が予定されています。
SCS評価制度は、単に認証や格付けを増やすためのものではなく、「最低限ここまでは備えてほしい」「重要な取引を担うのであれば、ここまでできていてほしい」という期待値を、サプライチェーン全体でそろえていくための土台だといえます。とくに中小企業にとっては、取引先ごとにばらばらの要求へ都度向き合う負担を減らし、どの水準を目指せばよいのかを具体的に見定めやすくする意味もあります。実際にIPAのガイドライン改訂でも、SCS評価制度はSECURITY ACTIONの上位基準として位置づけられ、その考え方を踏まえた対策が整理されています。
その中で見逃せないのが、脅威インテリジェンスに通じる考え方が、すでに★4の要求事項に織り込まれている点です。★4のNo.3-2-1「脆弱性の管理体制、管理プロセスを定め、それに基づく管理を行うこと。」では、「脆弱性情報/脅威情報の収集から対応まで担当部署の役割・責任を定めること。」や、「収集した脆弱性情報/脅威情報の対応要否判断基準・対応手順を定めること。」などが求められています。求められているのは、問題が起きてから頑張ることだけではなく、脅威や脆弱性の情報を継続的に捉え、監視や対処に結びつける力なのです。
| 要求事項No. | 要求事項名 | 要求事項 | ★3/★4 | 評価基準No. | 評価基準 |
|---|---|---|---|---|---|
| 3-2-1 | 脆弱性の管理体制 | 脆弱性の管理体制、管理プロセスを定め、それに基づく管理を行うこと。 | ★4 | 3-2-1-1 | 脆弱性情報/脅威情報の収集から対応まで担当部署の役割・責任を定めること。 |
| 3-2-1-2 | 脆弱性情報/脅威情報を収集する情報源、ツール及び頻度を定めること。 | ||||
| 3-2-1-3 | 収集した脆弱性情報/脅威情報の対応要否判断基準・対応手順を定めること。 | ||||
| 3-2-1-4 | 管理対象の情報機器における脆弱性の残存状況を把握するための仕組みを整備すること。 | ||||
| 3-2-1-5 | 収集した脆弱性情報/脅威情報に対する対応履歴を記録し、対応漏れがないかどうかについて月次で点検すること。 |
SCS評価制度が求める「脆弱性情報/脅威情報の収集」、「対応要否の判断」、「対応」という考え方は、国際的なフレームワークとも方向性を同じくしています。
米国NISTの「Cybersecurity Framework 2.0」では、脅威インテリジェンスは識別(ID)と検知(DE)を支える要素として整理されており、識別(ID)のリスクアセスメント(ID.RA)では、
- ID.RA-02:サイバー脅威インテリジェンスが、情報共有フォーラムや情報源から入手されている。
- ID.RA-03:組織に対する内部及び外部の脅威が識別され、記録されている。
が示されています。さらに、検知(DE)の有害事象の分析(DE.AE)では、
- DE.AE-07:サイバー脅威インテリジェンス及びその他の文脈的情報が分析に統合されている。
が挙げられています(IPA:セキュリティ関連NIST文書について のCybersecurity Framework (CSF)日本語訳より)。
つまり、脅威インテリジェンスは単に情報を集める活動ではなく、脅威を把握し、自社への影響を見極め、監視や検知、対応の優先順位付けにつなげるための基盤として位置づけられています。
脅威インテリジェンスで自社と同じ業種を狙った攻撃が海外で急増していると分かれば、関連するシステムの監視を強めることができます。新たに悪用が始まった脆弱性が、自社で利用中の機器やサービスに関係していると分かれば、パッチ適用やアクセス制御の見直しを前倒しできます。取引先や自社のアカウント情報が流通している兆候を把握できれば、認証強化や利用者への注意喚起を先に打つこともできます。つまり脅威インテリジェンスは、漠然とした不安を、具体的な行動に変えるための仕組みと言えます。
後手に回らないために
被害をゼロにすることは簡単ではありません。それでも、早く気づければ、被害を最小限に抑えられる可能性はあります。脅威インテリジェンスは、その判断に必要な情報を早い段階でつかむための手段です。重要なのは、情報を集めることそのものではなく、得られた情報をもとに何を優先して対応するかを見極め、実際の備えにつなげることです。そうした対応の積み重ねが、被害を抑えることにつながると考えます。それでは、また次回お会いしましょう!
弊社サービス紹介
脅威インテリジェンス活用支援サービスセキュリティ診断サービス(脆弱性診断)
ID-Ashura
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
