Filigranが書き換えるサイバー脅威管理の新ルール

※この記事はOpenCTIを提供するFiligran社のブログを日本語に翻訳したものです。

原題：How Filigran is redefining the rules of cyber threat management(2025年4月15日掲載)

https://filigran.io/redefining-the-rules-of-cyber-threat-management/

日々増大するサイバー脅威のリスクを評価する上で、サイバー脅威インテリジェンスは欠かせない存在になっています。こうしたインテリジェンスを活用し、悪用の可能性が非常に高い脆弱性や弱点に優先順位を付けることで、セキュリティチームは将来の攻撃を見越した対策を講じることができます。

今日のサイバー脅威インテリジェンスの課題とは？

全体を網羅した脅威管理体制の構築はそう簡単にはいかないものです。複数の脅威フィードソースを扱い、さまざまなセキュリティシステムと連携し、さらにはワークフローの自動化を実現する必要があるからです。インテリジェンスを相互に関連付けし、体系化する一元的なプラットフォームがなければ、有益な情報の断片化が進み、脅威を取り巻く状況の全体像の把握が難しくなってしまいます。

文脈情報を欠いたデータの過多

CISO、脅威インテリジェンスアナリスト、スレットハンター、SOCチームのメンバー。それぞれがさまざまな知見を脅威インテリジェンスに求めています。しかし今日では、あまりにも多くの脅威インテリジェンスが、ダッシュボードやレポートの中にとどまり、リアルタイムに活用されていないのが現状です。このような背景には、脅威インテリジェンスの大半はノイズや重複が多く、また文脈情報を欠いているため、どの脅威が本当のリスクかを判断しづらくなっているという状況があります。また、レポートやインディケータ、脆弱性、アラートの量と頻度が増えたことで、大量の誤検知が発生し、結果として現場の疲弊につながっています。 脅威インテリジェンスは、侵害の痕跡（IOC）の枠組みを超えて、さまざまな役割の要求にこたえ、さまざまなセキュリティシステムのインプットになるなど、それぞれの目的にかない意思決定を支える、リスクベースかつコンテキストベースのインテリジェンスへと進化する必要があります。

硬直的で柔軟性に欠けるデータモデル

STIX 2.1やMITRE ATT&CKといったフレームワークは、脅威インテリジェンスの標準化を推進し、共有や相互運用性を可能にしています。STIXは、サイバー脅威、攻撃者の戦術、攻撃手法といった複雑な関係性を表現するのに極めて有効であり、自動化の基盤ともなります。ただし、こうした最新フレームワークの恩恵を受けられるか否かは、脅威インテリジェンスの収集・保存・処理に用いられるデータモデルの柔軟性にかかっています。従来型の脅威インテリジェンスプラットフォーム（TIP）の中には、独自仕様のデータモデルを採用しているためにSTIXフレームワークに部分的にしか対応していない、あるいはまったく対応していないものもあります。セキュリティチームはしばしばこのような制約に対処しなければならず、結果として不完全なインテリジェンス分析や重要な知見の見落としといったことが度々起こります。

このような標準化が実現できていないと、SIEM、SOAR、EDR、ファイアウォールなどの異なるセキュリティシステムとの連携が非常に複雑になります。多くの組織では、一方通行のインテリジェンスフローのせいで、脅威インテリジェンスは受け身的な情報となり、行動につながる情報にはなっていません。その結果、セキュリティチームの対応が遅れ、脅威インテリジェンスの効果も薄れてしまいます。

脅威インテリジェンスのフィードポータル vs 脅威インテリジェンスプラットフォーム

組織では、OSINT、ISAC、商用、ダークネットのインテリジェンスソースに至るまで、さまざまな脅威インテリジェンスフィードが活用されています。脅威インテリジェンスを一元的に加工し効率化する脅威インテリジェンスプラットフォーム（TIP）がなければ、互いに関連性がなく重複したデータが大量に生じ、その結果、アナリストの時間と労力が大いに浪費されてしまいます。

FiligranのOpenCTI – サイバー脅威管理の新たな視点

組織には、体系的でスケーラブルかつ包括的な脅威インテリジェンスプラットフォームが必要です。攻撃者たちは、さまざまな地下フォーラムで悪意のあるコードを売買し、戦術を共有し、攻撃を組織化するなど、絶えず協力し合っています。防御側は、この協力レベルに匹敵するあるいはそれ以上のレベルを確保しなければなりません。これこそが、Filigranの脅威インテリジェンスプラットフォーム、OpenCTIのベースにある考え方です。

OpenCTIは、最新のテクノロジー基盤、オープンソース開発、AIの力、そしてコミュニティ主導モデルを組み合わせることで、強力でスケーラブルかつ協調型のアプローチで脅威管理を実現します。活発な脅威インテリジェンス（TI）コミュニティのために設計され、そのコミュニティによって活用されるプラットフォームにアクセスできます。OpenCTIは、すでに世界各地の数千ものサイバー脅威インテリジェンス（CTI）チームに利用されており、そこには最も要求の厳しい諜報機関や防衛組織も含まれています。

OpenCTIを使えば次のことが可能になります：

• 直感的に操作できる最新式のダッシュボード、高度な可視化機能、グラフ分析機能、そして攻撃者やマルウェア、脆弱性のグループ化機能により、脅威インテリジェンスを迅速に運用化する。
• 自社にとって重要な脅威を優先順位づけし、対応時間を短縮する。
• 柔軟なデータモデルと豊富なコネクターを活用して、多様なソースから一括してフィードを取り込んだ上で重複を排除し、「SSOT：信頼できる唯一の情報源）を」を構築する。
• SIEM、SOAR、XDRなど、必要なあらゆるシステムに出力する。
• STIX 2.1に準拠し、構造化された標準化インテリジェンスを生成する。
• AIを活用する標準搭載のプレイブックにより、対応の自動化を図る。

コミュニティによる協力体制

積極的に協力してくれるコミュニティと継続的なフィードバックループを確保できていることは、非常に喜ばしいことです。Filigran社のエンジニアや製品チームはこのTIコミュニティと頻繁に交流しており、ユーザーの声に耳を傾けながら、ほぼ毎週、製品アップデートをリリースしています。

OpenCTIは、エンタープライズのお客様だけでなく、NATOやCERT-EU、ENISAといった政府の諜報機関やCERTにも選ばれる、“定番”の脅威インテリジェンスプラットフォームになりつつあります。

協業という理念を形にすべく、Filigran社はパートナーシップを構築し、コネクターを提供する、多様なセキュリティベンダーによるエコシステムを構築しています。お客様の要件に応じて、直接、あるいはマネージドサービスプロバイダーを通じて喜んでご一緒します。

OpenCTIは、脅威インテリジェンスコミュニティの多様なニーズに応えられるよう、2つのバージョンで提供されています。Community Editionは、インテリジェンスの体系化・分析・共有に必要な基本機能を提供し、セキュリティチーム、研究者、組織間の効果的な協業を支援するオープンソースのプラットフォームです。高度なスケーラビリティや自動化、AIによるインサイトやレポートのカスタマイズ、自然言語での対話などを必要とするお客様は、Enterprise Editionをご利用ください。Enterprise Editionでは、これらの機能を追加機能として拡張するほか専任サポートも提供しています。OpenCTIは、脅威インテリジェンスの運用を始めたばかりの組織であってもグローバルなセキュリティチームを運営する組織であっても、それぞれのニーズにマッチする柔軟なソリューションを提供します。

OpenCTIは脅威インテリジェンスを戦力倍増の力へと変え、アナリストの行動をリアクティブからプロアクティブへと変容します。

私たちの取り組みは始まったばかり

結局のところ、盤石な脅威管理施策を構築しても、そこから得られる脅威インテリジェンスが実際に役に立ち、有効に活用されなければ意味がありません。脅威インテリジェンスの使用事例の一つに、BAS（Breach and Attack Simulation：侵害・攻撃シミュレーション）演習がありますが、これには適切な文脈情報を備えた信頼できる脅威インテリジェンスが不可欠です。これはまさにOpenCTIが提供しているものですので、BASがFiligran社の次の一手となるのは必然です。新プラットフォーム、OpenBASでは、OpenCTIから得られる脅威インテリジェンスを活用して、現実的な侵害・攻撃シミュレーションシナリオを作成・実行できます。これら2つのプラットフォームはシームレスに統合されているため、自動化とシミュレーションの力を組み合わせることで、セキュリティ戦略の効果を一層高めることができます。

Filigranでは、製品を一つひとつ世に出すごとに、脅威管理のルールを書き換えています。拡張型脅威管理（XTM）やOpenBASについては別のブログで詳しくご紹介しますが、その前にぜひXTMハブをご覧になってみてください。両製品のライブデモに実際に触れていただき、これらのプラットフォームの有用性を体感していただけます！

OpenCTIに関するお問い合わせはコンステラセキュリティジャパンまでお寄せください。