目次
はじめに:脅威情報を集めるだけで終わっていませんか?
脅威フィード、調査レポート、IOC、脆弱性情報を収集していても、 情報が分散していたり、古いIOCが残り続けていたりすると、 実際の調査やセキュリティ対策に十分活用できません。
重要なのは、収集した情報を整理し、 自社に関係する脅威を見極め、 SOCやCSIRTがすぐに利用できる状態にすることです。
OpenCTIは、 脅威情報の収集、構造化、分析、共有を一元化する 脅威インテリジェンスプラットフォームです。
脅威インテリジェンス運用のよくある課題
脅威情報を扱う現場では、次のような課題が起こりやすくなります。
- 脅威フィードや調査レポートが複数の場所に分散している
- 攻撃者、マルウェア、IOCの関係が分かりにくい
- 古いIOCが残り、確認作業や誤検知が増える
- 担当者によって検索条件や調査手順が異なる
- 情報の分類、ラベル付け、通知に時間がかかる
- 収集した脅威情報を防御や検知の改善に生かせていない
OpenCTIは、こうした情報の分散や属人化を抑え、 脅威インテリジェンスを実務で利用しやすい形に整理します。
OpenCTIで脅威情報を整理・共有する
OpenCTIでは、脅威アクター、マルウェア、キャンペーン、 脆弱性、攻撃手法、IOC、インシデントなどを STIX 2.1ベースで構造化して管理できます。
ナレッジグラフを利用することで、 「どの攻撃者が、どのマルウェアや脆弱性を利用しているのか」 といった関係性を視覚的に確認できます。
また、Custom Viewsを利用すると、 SOC、脆弱性管理、インシデント対応など、 担当者の役割に合わせて必要な情報を一つの画面にまとめられます。
検索条件はSaved Filtersとして保存し、 ユーザー、グループ、組織で共有できます。
これにより、担当者ごとの検索方法の違いを減らし、 共通の条件で調査や監視を進められます。
IOC管理と定型作業を効率化する
IPアドレス、ドメイン、URLなどのIOCは、 時間の経過とともに有効性が変化します。
OpenCTIのDecay Rulesでは、 設定した条件に基づいてIndicatorのスコアを自動的に低下させ、 古くなったIOCを失効状態として管理できます。
IOCの種類や情報源ごとに異なるルールを設定できるため、 現在確認すべき情報を優先しやすくなります。
また、OpenCTI Enterprise Editionの Playbookでは、次のような処理を自動化できます。
- 情報のフィルタリングと条件分岐
- ラベルや属性の追加
- 外部情報によるエンリッチメント
- ケースやレポートの作成
- 担当者への通知
- 外部システムへのデータ送信
定型作業を自動化することで、 アナリストは情報整理ではなく、 調査や判断に集中しやすくなります。
OpenAEVと連携して防御力を検証する
脅威情報を把握していても、 その攻撃を現在のセキュリティ製品が 実際に検知・防御できるとは限りません。
OpenCTIのSecurity Coverageでは、 レポートやインシデントに含まれる攻撃手法に対して、 自社の防御・検知状況を評価できます。
OpenAEVと連携すれば、 OpenCTIで整理した脅威情報をもとに 攻撃シミュレーションやAtomic Testingを実行できます。
セキュリティ製品が攻撃を防御できたか、 SIEMやEDRが検知できたか、 担当者が適切に対応できたかを確認し、 改善が必要な領域を明確にできます。
XTM Oneで分析・検証をAI支援
XTM Oneは、 OpenCTIとOpenAEVを横断してAIエージェントを活用する Agentic AIオーケストレーションレイヤーです。
自然言語による脅威情報の調査、 ダッシュボード作成、脅威情報の要約、 脅威ハンティング、攻撃シナリオ作成、 検証結果の整理などを支援します。
AIが最終判断を行うのではなく、 情報収集や整理などの反復作業を支援することで、 アナリストが優先順位付けや改善活動に 集中しやすくなります。
まとめ
OpenCTIは、脅威情報を保存するだけのデータベースではありません。
Custom Viewsによる情報の可視化、 Saved Filtersによる調査条件の共有、 Decay RulesによるIOCの鮮度管理、 Playbookによる定型処理の自動化を通じて、 脅威インテリジェンス運用を標準化できます。
さらにOpenAEVと連携することで、 収集した脅威情報を実際の攻撃シミュレーションへつなげ、 防御・検知・対応が機能するかを確認できます。
脅威情報が分散している、 IOC管理が属人化している、 収集した情報をセキュリティ改善へ生かせていない場合、 FiligranのOpenCTI、OpenAEV、XTM Oneは 有力な選択肢となります。
今後も、セキュリティと実務運用の両面から役立つ情報を発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!