Filigran

【Filigran】脅威インテリジェンスと防御検証をつなぐAI層「XTM One」とは?

目次

はじめに:脅威インテリジェンスを「実行可能なアクション」へつなげるには

サイバー脅威が高度化・複雑化する中、セキュリティチームには、脅威情報を収集するだけでなく、その情報をもとに自社の防御態勢を検証し、改善アクションへつなげることが求められています。

しかし実際の現場では、脅威レポートの確認、IOCやTTPの整理、脅威ハンティング、攻撃シナリオの作成、検証結果の分析、修復方針の検討など、多くの作業が分断されがちです。

脅威インテリジェンスを管理するチーム、防御検証を行うチーム、SOCやCSIRT、改善対応を行う担当者が、それぞれ別のツールやワークフローで作業している場合、脅威を把握してから実際の対応に移るまでに時間がかかります。

そこで注目されるのが、FiligranのAIオーケストレーションレイヤーであるXTM Oneです。

XTM Oneは、脅威インテリジェンス基盤であるOpenCTIと、防御検証を行うOpenAEVを横断し、AIエージェントによって脅威管理ライフサイクルを支援します。

脅威を「知る」だけで終わらせず、検証された対応アクションへつなげるための仕組みとして、セキュリティ運用の効率化と高度化に役立ちます。

XTM Oneとは

XTM Oneは、Filigran XTM Platform全体におけるAgentic AIレイヤーです。

OpenCTIとOpenAEVにまたがるAI機能を統合し、継続的脅威エクスポージャー管理、いわゆるCTEMのライフサイクルをオーケストレーションします。

XTM Oneでは、事前に用意されたAIエージェントや、組織ごとに構築できるカスタムAIエージェントを活用し、脅威情報の取り込み、エンリッチメント、脅威サマリー作成、脅威ハンティング、攻撃シナリオ作成、修復ガイダンスの提示などを支援します。

これにより、セキュリティ担当者は膨大なデータ整理や定型作業に追われるのではなく、重要な脅威の判断、優先順位付け、検証結果にもとづく改善活動に集中しやすくなります。

XTM Oneの特徴は、単なるAIチャット機能ではなく、OpenCTIで扱う脅威インテリジェンスと、OpenAEVで行う攻撃シミュレーション・検証をつなぐ点にあります。

XTM Oneが支援するCTEMライフサイクル

CTEMは、継続的に脅威やエクスポージャーを把握し、防御・検知・対応の有効性を確認しながら改善を続ける考え方です。

XTM Oneは、OpenCTIとOpenAEVを横断して、CTEMに必要な一連の流れをAIエージェントで支援します。

  • 脅威情報の取り込み: レポートや外部情報を取り込み、分析しやすい形に整理します。
  • エンリッチメント: IOC、TTP、攻撃者、脆弱性、マルウェアなどの関連情報を補完します。
  • 脅威サマリー: 重要な脅威の概要や関連情報を整理し、共有しやすくします。
  • 脅威ハンティング: 高価値なインジケーターや検知に必要な情報を整理します。
  • 攻撃シナリオ作成: OpenCTIの情報をもとに、OpenAEVで利用する検証シナリオを作成しやすくします。
  • 検証と改善: 検証結果をもとに、コントロールギャップや修復方針の検討を支援します。

このように、XTM Oneは脅威インテリジェンスと防御検証の間にあるギャップを埋め、脅威を理解するところから、実際の防御を検証し、改善へつなげる流れを支援します。

理由1:OpenCTIとOpenAEVをつなぎ、脅威情報から検証までを一貫化する

XTM Oneの大きな役割は、OpenCTIとOpenAEVの間をつなぐことです。

OpenCTIでは、脅威レポート、IOC、TTP、攻撃者、脆弱性などの脅威インテリジェンスを整理・分析できます。一方、OpenAEVでは、その情報をもとに攻撃シナリオを作成し、防御・検知・対応が想定どおりに機能するかを検証できます。

ただし、脅威情報を分析することと、その情報を検証シナリオに落とし込むことの間には、実務上のギャップがあります。

たとえば、ある攻撃者に関するレポートを確認したとしても、その攻撃者のTTPをどのように検証シナリオへ反映するか、どの検知ルールを確認すべきか、どの防御コントロールを優先的に見直すべきかを判断するには時間がかかります。

XTM Oneは、OpenCTIで整理された脅威インテリジェンスを、OpenAEVの検証シナリオや改善活動へつなげる流れを支援します。

これにより、脅威を「知っている」状態から、実際に「検証し、改善する」状態へ進みやすくなります。

理由2:AIエージェントが脅威分析・ハンティング・シナリオ作成を支援する

XTM Oneには、脅威管理ライフサイクルの各工程を支援するAIエージェントが用意されています。

レポート取り込みやエンリッチメントを支援するエージェントは、脅威情報を分析しやすい形へ整理します。脅威サマリーを作成するエージェントは、攻撃者、TTP、IOC、脆弱性、影響範囲などをまとめ、アナリストや関係者が状況を把握しやすくします。

脅威ハンティングを支援するエージェントは、重要なインジケーターを抽出し、検知ルールやハンティングパッケージとして活用しやすい形に整理します。

また、OpenAEV側では、OpenCTIで整理された脅威情報をもとに、攻撃者の行動に沿ったシナリオ作成を支援できます。

セキュリティチームは、ゼロから調査・整理・シナリオ作成を行うのではなく、AIエージェントの支援を受けながら、より短いサイクルで検証や改善に進めるようになります。

理由3:自然言語操作により、複雑な作業を進めやすくする

XTM Oneは、自然言語による操作を通じて、複雑な脅威管理ワークフローを進めやすくします。

脅威インテリジェンスや攻撃シミュレーションの運用では、データモデル、関係性、攻撃技術、検証手順など、多くの専門知識が求められます。

そのため、経験の浅い担当者にとっては、脅威情報をどのように整理し、どのように検証へつなげるかが大きなハードルになります。

XTM Oneを活用することで、自然言語で指示しながら、脅威サマリー、ダッシュボード、ハンティングパッケージ、攻撃シナリオ、修復ガイダンスなどを作成しやすくなります。

これにより、担当者は複雑な操作やデータ構造をすべて理解してから作業を始めるのではなく、AIエージェントの支援を受けながら、実務に必要なアウトプットを作成できます。

熟練アナリストにとっても、反復的な整理作業や初期調査を効率化し、より高度な判断や意思決定に集中しやすくなる点がメリットです。

理由4:自社LLM・自社ルールに合わせたAI活用ができる

セキュリティ領域でAIを利用する場合、性能だけでなく、データの扱い、説明責任、社内ポリシーへの適合性も重要です。

XTM Oneは、AI機能をブラックボックスとして一方的に利用するのではなく、組織の方針に合わせて活用できるオーケストレーションレイヤーとして位置づけられています。

自社のLLM、自社で設計したエージェント、社内ツール、MCPサーバー、外部連携などを組み合わせることで、組織ごとのAI活用方針に合わせた構成を検討できます。

たとえば、機密性の高い脅威情報を扱う組織では、利用するLLMやデータ処理の範囲を慎重に管理する必要があります。XTM Oneは、そのような要件を踏まえながら、AIによる支援を運用に取り入れたい組織に適しています。

また、AIエージェントを活用しながらも、人間が判断や承認を行う運用を維持できるため、AI任せではないセキュリティ運用を設計しやすくなります。

理由5:脅威検証と修復支援を同じ流れで扱える

セキュリティ運用では、脅威を把握するだけでなく、その脅威に対して自社の防御が機能するかを確認し、必要な改善を行うことが重要です。

OpenAEVでは、攻撃シナリオや検証を通じて、防御・検知・対応の有効性を確認できます。XTM Oneは、そのシナリオ作成や検証結果の活用をAIエージェントで支援します。

検証の結果、特定の攻撃手法を検知できない、対応手順に遅れがある、既存のコントロールにギャップがあるといった課題が見つかることがあります。

XTM Oneは、こうした検証結果をもとに、修復ガイダンスや改善に必要な情報整理を支援します。EDRやSIEMなどの検知ルール作成支援にも活用できます。

これにより、セキュリティチームは、脅威情報を分析するだけでなく、検証結果を改善活動へつなげるサイクルを回しやすくなります。

XTM Oneの利用範囲とライセンスの考え方

XTM Oneは、OpenCTIまたはOpenAEVのEnterpriseライセンスと組み合わせて利用できるAI機能を含みます。

Enterpriseライセンスでは、事前構成済みのAIエージェント、AI機能、自社LLMの活用などを含む構成が提供されます。

さらに高度な利用を行う場合には、専用ライセンスにより、新しいエージェントの作成、独自フローの構築、自社ツール、スキル、MCPサーバー、各種インテグレーションとの接続など、より柔軟なカスタマイズを検討できます。

そのため、XTM Oneを検討する際は、単にAI機能を利用するかどうかだけでなく、どの範囲まで自社でカスタマイズしたいのか、既存のセキュリティツールとどのように連携したいのかを整理することが重要です。

導入時に確認すべき主なポイント

XTM Oneを活用する場合、脅威インテリジェンス、防御検証、AI活用、データ管理の観点から、事前に運用方針を整理しておくことが重要です。

  • OpenCTIで管理している脅威インテリジェンスを、どのようにOpenAEVの検証へつなげたいか
  • 脅威レポートの取り込み、要約、エンリッチメントをどの範囲でAIに支援させるか
  • 脅威ハンティングや検知ルール作成にAIエージェントをどう活用するか
  • 攻撃シナリオ作成や検証結果の分析を、どのチームが担当するか
  • 自社LLMや既存AI基盤を利用する必要があるか
  • AIエージェントが扱うデータの範囲や権限をどのように管理するか
  • Human-in-the-loopを前提に、人間の承認やレビューをどの段階で入れるか
  • 既存のSIEM、EDR、SOAR、チケッティング、MCPサーバーなどと連携する必要があるか
  • 事前構成済みエージェントで足りるのか、カスタムエージェントや独自フローが必要か
  • OpenCTI、OpenAEV、XTM Oneのライセンス範囲をどのように整理するか

AIを活用するほど、セキュリティ運用のスピードは上がります。一方で、AIが扱う情報や判断の範囲を明確にし、人間がレビューできる運用設計にしておくことが重要です。

XTM Oneが適している主なシーン

XTM Oneは、脅威インテリジェンスと防御検証を組み合わせ、CTEMを実務に落とし込みたい組織に適しています。

  • OpenCTIを活用している脅威インテリジェンスチーム:蓄積した脅威情報を分析・共有だけでなく検証へつなげたい場合
  • OpenAEVで防御検証を行うセキュリティチーム:攻撃シナリオ作成や検証結果の分析を効率化したい場合
  • SOC / CSIRT:脅威サマリー、脅威ハンティング、検知ルール作成、インシデント対応の判断材料を整理したい場合
  • 脅威ハンティングを強化したい組織:重要なインジケーターを抽出し、実務で使えるハンティングパッケージへ変換したい場合
  • CTEMを継続的に運用したい企業:脅威の把握、検証、改善を一つのサイクルとして回したい場合
  • MDR / MSSP事業者:複数顧客向けに脅威分析、検証、改善支援を効率化したい場合
  • 自社LLMや独自AI基盤を活用したい組織:AIの利用方針やデータ管理要件に合わせて構成したい場合
  • AIを使いたいがブラックボックス化を避けたい組織:自社ルールや人間のレビューを維持しながらAIを活用したい場合
  • セキュリティ改善の優先順位付けに課題がある組織:検証結果にもとづいて、どのギャップを先に修正すべきか整理したい場合
  • 脅威情報を実行可能なアクションへつなげたい組織:レポートを読むだけでなく、検証と改善に結びつけたい場合

特に、脅威インテリジェンスをすでに収集しているものの、実際の防御検証や改善活動への展開に課題を感じている組織にとって、XTM Oneは有効な選択肢となります。

まとめ:脅威を知るだけでなく、検証し、改善するためのAIレイヤー

XTM Oneは、Filigran XTM Platformにおいて、OpenCTIとOpenAEVを横断するAgentic AIレイヤーです。

脅威情報の取り込み、エンリッチメント、脅威サマリー、脅威ハンティング、攻撃シナリオ作成、検証結果にもとづく修復支援など、脅威管理ライフサイクルのさまざまな工程をAIエージェントで支援します。

これにより、セキュリティチームは、脅威を「知る」だけでなく、実際に防御・検知・対応を検証し、改善へつなげる運用を進めやすくなります。

また、自社LLM、独自エージェント、MCPサーバー、社内ツールとの連携にも対応できるため、組織のAI活用方針やデータ管理要件に合わせた運用を検討できます。

AIによる効率化と、人間による判断・統制を両立しながら、CTEMを実務に落とし込みたい組織にとって、XTM Oneは検討する価値のあるソリューションです。

当ブログでは今後も、セキュリティと実務運用の両面から役立つ情報を発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!

商品の詳細とお問い合わせはこちらから↓↓
 Filigran製品ページ

worldsoftへのお問い合わせはこちらから

-Filigran
-,