目次
はじめに:アラートの山から「真の脅威」をどう見つけ出すか
毎年、膨大な数の脆弱性や脅威情報が公開されています。
しかし実務では、見つかった脆弱性のすべてが同じ重みを持つわけではなく、実際に悪用されるものは一部に限られます。
一方で、セキュリティ侵害の多くは、すでに持っているはずの防御策が正しく機能していないことや、設定ミス、運用上のギャップによって起こります。
つまり、現場で本当に問われているのは、脅威情報をどれだけ集めたかではなく、どの脅威を優先し、自社の防御が本当に有効かをどう確かめるかです。
本記事では、Filigran が掲げるオープンソースの eXtended Threat Management(XTM) という考え方を軸に、なぜ今「脅威主導の防御」が求められているのか、そして導入企業がどのような成果を上げているのかを整理します。
なぜ多くの組織で「情報はあるのに成果が出ない」のか
セキュリティチームの多くは、すでに多数のツールやデータソースを抱えています。
それでもなお、「何を優先すべきか分からない」「対策しているつもりでも不安が残る」という状況から抜け出せないことが少なくありません。
- 情報が多すぎる
脆弱性、IOC、レポート、アラートが増え続け、どれが本当に重要なのか判断しにくい - 文脈が分断される
脅威インテリジェンス、検知、運用、演習が別々に動き、ひとつの改善サイクルになりにくい - 検証が後回しになりやすい
防御策や手順が「ある」ことと、「実際に機能する」ことは同じではない - 現場の負荷が高い
手作業による調査、演習準備、ダッシュボード整備などが積み重なり、改善に使う時間が削られる
この状態でさらにツールを増やしても、必ずしも成果にはつながりません。
必要なのは、脅威の理解から検証、改善までをひとつの流れとして扱える運用基盤です。
ツールを追加するのではなく、「成果」にフォーカスする
Filigran の訴求で印象的なのは、「ツールを増やすこと」ではなく、測定可能な成果に焦点を当てている点です。
実際、Filigran のメッセージでは、実用的な CTEM(継続的脅威エクスポージャー管理)とは、成果主導で、統合され、スケーラブルであるべきだという考え方が前面に出されています。
この考え方は、いわゆる Threat-Informed Defense(脅威主導の防御) とも相性が良いと言えます。
重要なのは、脅威情報を集めること自体ではなく、自社にとって意味のある脅威を特定し、それに対して今の防御や運用が機能するかを継続的に確かめることです。
そのため、評価すべき対象は「ツールの数」ではなく、たとえば次のような実務成果になります。
- 検知や対応がどれだけ速くなったか
- 手作業がどれだけ減ったか
- 演習や検証をどれだけ継続しやすくなったか
- ノイズではなく、重要な脅威へ集中できるようになったか
FiligranのXTMプラットフォームが担う役割
Filigran は、OpenCTI と OpenAEV を中核に、脅威理解から検証・改善までをつなぐ XTMプラットフォームを打ち出しています。
さらに、AI-native なコックピット、XTM Hub、シナリオライブラリ、トレーニングといった周辺要素も含めて、単なる製品群ではなく、継続運用しやすいエコシステムとして位置づけています。
それぞれの役割を整理すると、次のように理解しやすくなります。
- OpenCTI
脅威情報を収集・構造化・優先順位付けし、SOC、CSIRT、脅威ハンティング、経営層共有などへつなげる基盤 - OpenAEV
その脅威文脈をもとに、防御・検知・対応・演習が本当に有効かを継続的に検証するための基盤 - XTM Hub
シナリオ、フィード、ダッシュボード、デモ、学習リソースなどにアクセスしやすくし、導入と運用定着を後押しするハブ
この組み合わせの本質は、情報を「貯める」ことではなく、優先順位付けされた脅威をもとに、防御を検証し、改善を次に生かすという循環を回しやすくする点にあります。
数字と事例が証明する、Filigran導入の実際の効果
Filigran は 6,000 人以上の実務者・コミュニティに支持されています。
ここでは、分かりやすい事例をいくつか見てみましょう。
-
Rivian:脅威の検知と対応を大幅に高速化
公開事例では、Rivian が OpenCTI を活用することで、過去 12 か月で MTTD を約 88% 削減し、さらにレスポンス時間を 95% 改善したと紹介されています。
また、CSOC のチケット処理でも 1 件あたり数分の短縮が積み上がり、日々大量のケースを扱う現場において大きな運用効果を生んでいることが示されています。 -
ASRG:40時間かかっていた準備・強化作業が「数秒」へ
ASRG の事例では、OpenCTI によりエンリッチメントが数秒で完了するようになり、以前はシステムやダッシュボードのセットアップに 40 時間以上かかっていたと語られています。
これは単なる効率化ではなく、脅威情報を実務に反映するまでのハードルを大きく下げる変化と言えます。 -
Swiss FDFA:危機演習の準備時間を 80% 削減
OpenAEV を導入した Swiss FDFA では、危機演習の準備時間を80%削減し、従来は最大 40 時間かかっていた準備が、拠点ごとに 1〜2 時間で済むようになったと紹介されています。
さらに、6か月で実施演習数を倍増させても運用負荷を増やさず、現場からは「また実施したい」という前向きな反応が得られたとされています。 -
Controlware:ノイズ処理から「本当に危ない脅威」の発見へ
Controlware の事例では、OpenCTI を基盤にした運用により、年間 6 か月分の調査負荷削減、検知ルール作成量 230% 増、検知展開時間 90%高速化が紹介されています。
さらに、PDF バックドアのキャンペーンでは、12 社の顧客環境における感染を特定し、それらは既存の XDR では検知されていなかったとされています。ここにあるのは、アラート処理の効率化だけではなく、重要な脅威をより早く、より文脈付きで見つけるという変化です。
なぜそれがROIにつながるのか
ここでいう ROI は、単に「ライセンス費用に対して安いかどうか」だけではありません。
セキュリティ運用の現場では、次のような改善が積み上がることで、投資対効果として見えやすくなります。
- 分析・対応にかかる時間の削減
チケット処理、エンリッチメント、調査、ルール展開といった反復作業が短縮される - 検知と対応のスピード向上
重要度の高い脅威へより早く反応しやすくなる - 演習や検証の継続性向上
準備負荷が下がることで、単発ではなく継続的に回せるようになる - ノイズ削減と集中力の向上
大量の一般アラートよりも、脅威文脈のある調査や検証に時間を使いやすくなる
つまり Filigran の価値は、機能一覧の多さよりも、実務上の無駄を減らし、本当に重要な脅威に人と時間を振り向けやすくすることにあります。
これが、導入企業の事例で「時間短縮」「検知改善」「演習定着」といった形で表れている理由です。
まとめ:脅威主導の防御を実務に落とし込むには
セキュリティ運用の現場では、脅威情報そのものよりも、その情報をどう優先し、どう検証し、どう改善につなげるかが成果を左右します。
だからこそ、これからの防御では「脅威を知ること」と「防御が機能すること」を切り離さず、ひとつの運用サイクルとして扱う視点が重要になります。
Filigran の XTM プラットフォームは、そのための現実的な選択肢として理解しやすい存在です。
OpenCTI で脅威を整理し、OpenAEV で検証し、XTM Hub や学習リソースも活用しながら運用に定着させることで、セキュリティチームは「アラートに追われる状態」から「優先度の高いリスクに先回りする状態」へ近づきやすくなります。
Filigran に関心がある方は、まずライブデモやコミュニティ版、XTM Hub の公開リソースを見ながら、自社にとって本当に優先すべき脅威と、その検証・改善の流れをどう作るかという観点で捉えてみると、製品の価値がより具体的に見えてきます。
当ブログでは今後も、さまざまな知見やリサーチ結果を実務にどう結びつけるかという観点で発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!