目次
サマリー
Filigran は、OpenCTI、OpenAEV(旧 OpenBAS)、XTM One を中核に、脅威インテリジェンスの活用から防御態勢の検証・改善までを支援する XTM(eXtended Threat Management)プラットフォームです。
OpenCTI は、サイバー脅威インテリジェンスを収集・整理・相関分析・共有するための基盤です。OpenAEV は、実際の攻撃シナリオや演習を通じて、セキュリティ製品、運用プロセス、対応チームが想定どおりに機能するかを検証する Adversarial Exposure Validation プラットフォームです。
さらに XTM One は、OpenCTI と OpenAEV を横断して AI エージェントをオーケストレーションする Agentic AI レイヤーです。脅威情報の取り込み、エンリッチメント、要約、脅威ハンティング、攻撃シナリオ作成、検証、改善支援までを一つの流れで扱いやすくします。
脅威情報を「集める」だけで終わらせず、重要な脅威を見極め、検知・防御・対応の有効性を継続的に確認することで、SOC、CSIRT、脅威インテリジェンスチーム、インシデント対応チーム、MDR / MSSP 事業者の実務を支援します。
この製品ページのポイント
- OpenCTI: 脅威データ、IOC、TTP、攻撃者、マルウェア、レポート、脆弱性情報などを STIX 2.1 ベースで構造化し、調査・共有・意思決定に活用できます。
- OpenAEV: 脅威インテリジェンスに基づく攻撃シミュレーション、Atomic Testing、テーブルトップ演習により、防御・検知・人の対応を検証できます。
- XTM One: OpenCTI と OpenAEV を横断する AI エージェントにより、脅威分析、脅威ハンティング、シナリオ作成、検証、Remediation 支援を効率化できます。
- OpenCTI × OpenAEV × XTM One: 脅威の把握から検証、改善アクションまでを、より一貫した流れで運用できます。
- 商用版の主な価値: AI、自動化、監査ログ、SaaS / オンプレミス / air-gapped / Bring Your Own Cloud など、組織の要件に応じた構成を選択できます。
製品概要
| 製品 | 主な役割 | 向いている用途 |
|---|---|---|
| OpenCTI | サイバー脅威インテリジェンス基盤(TIP) | 脅威情報の集約、相関分析、脅威ハンティング、インシデント対応、レポート作成、情報共有 |
| OpenAEV(旧 OpenBAS) | Adversarial Exposure Validation / 攻撃シミュレーション | 防御・検知・対応の検証、BAS、CTEM、テーブルトップ演習、セキュリティ運用の改善 |
| XTM One | Agentic AI オーケストレーションレイヤー | AIエージェントによる脅威分析、脅威ハンティング、攻撃シナリオ作成、検証、改善支援 |
OpenCTI — サイバー脅威インテリジェンス基盤
OpenCTI は、脅威インテリジェンスの収集、構造化、相関分析、可視化、共有を一元化するオープンソースの脅威インテリジェンスプラットフォームです。
- 商用フィード、オープンソース、業界共有、内部セキュリティツールなど、複数の情報源を統合。
- STIX 2.1 ベースのデータモデルにより、IOC、TTP、攻撃者、マルウェア、キャンペーン、脆弱性、レポートなどを構造化。
- ナレッジグラフ、ダッシュボード、可視化機能により、脅威要素の関係性や優先度を把握。
- ケース管理、ロールベースアクセス制御、共有機能により、調査・連携・エスカレーションを効率化。
- OpenCTI Enterprise Edition では、AI、自動化、監査ログ、連携機能など、本番運用を想定した機能を利用できます。
- SIEM、SOAR、EDR、XDR、チケッティングシステムなど既存のセキュリティ運用基盤との連携にも適しています。
OpenAEV(旧 OpenBAS)— Adversarial Exposure Validation
OpenAEV は、脅威インテリジェンスに基づいて攻撃シナリオを実行し、組織の防御態勢を検証するオープンソースの Adversarial Exposure Validation プラットフォームです。
- 実際の脅威や MITRE ATT&CK に基づいた攻撃シナリオを作成・実行。
- OpenCTI と連携し、優先度の高い脅威インテリジェンスを検証シナリオへ活用。
- Atomic Testing による個別技術の検証と、複数の Inject を組み合わせたシナリオ型シミュレーションに対応。
- フィッシングメール、コマンド実行、DNS 解決などの Inject を利用し、防御・検知・人の対応を確認。
- Prevention、Detection、Human Response、Vulnerability などの観点でシミュレーション結果を確認。
- テーブルトップ演習により、技術的な防御だけでなく、エスカレーション、意思決定、チーム連携など人とプロセスの対応力も検証。
- OpenAEV Enterprise Edition では、AI-powered scenario generation、AI-augmented remediation、既存エージェント活用、柔軟な配備モデルなどを利用できます。
XTM One — Agentic AI オーケストレーションレイヤー
XTM One は、Filigran XTM Platform 全体で AI エージェントを活用するための Agentic AI オーケストレーションレイヤーです。
- OpenCTI と OpenAEV を横断し、脅威情報の処理から検証シナリオ作成までを支援。
- レポート取り込み、エンリッチメント、脅威サマリー、脅威ハンティング、攻撃シナリオ作成、Remediation 支援などに活用。
- 自然言語による操作により、複雑なデータモデルや運用手順を意識せずに、脅威管理ワークフローを進めやすくします。
- 事前構成済みAIエージェントにより、アナリストの反復作業を減らし、判断や改善活動に集中しやすくします。
- 自社LLM、独自エージェント、社内ツール、MCPサーバー、外部連携など、組織のAI活用方針に合わせた拡張を検討できます。
- Human-in-the-loop の考え方により、AIによる支援を活用しながらも、最終的な判断や制御は利用者側で維持できます。
Filigran XTM Platformとは
Filigran XTM Platform は、脅威インテリジェンス、攻撃シミュレーション、エクスポージャー検証、改善支援を統合的に扱うためのセキュリティプラットフォームです。
従来、脅威インテリジェンス管理、SOC運用、脅威ハンティング、攻撃シミュレーション、改善活動は別々のツールやチームで運用されることが多く、情報が分断されがちでした。Filigran は、OpenCTI、OpenAEV、XTM One を組み合わせることで、脅威の把握から検証、改善までを一つの流れで進めやすくします。
| 領域 | 主な課題 | Filigranでの対応 |
|---|---|---|
| 脅威インテリジェンス | 情報源が分散し、脅威の優先順位を判断しづらい。 | OpenCTI で脅威情報を構造化し、関係性や優先度を整理。 |
| セキュリティ検証 | 防御・検知・対応が実際の脅威に対して有効か確認しづらい。 | OpenAEV で攻撃シナリオ、Atomic Testing、テーブルトップ演習を実行。 |
| AI活用 | 分析、レポート作成、シナリオ作成、改善提案に時間がかかる。 | XTM One でAIエージェントを活用し、反復作業を効率化。 |
| 継続改善 | 検証結果を改善アクションへつなげる運用が定着しにくい。 | 脅威の把握、検証、改善支援を同じエコシステムで反復。 |
OpenCTI と OpenAEV を組み合わせる理由
脅威インテリジェンスは、収集して保管するだけでは十分ではありません。重要なのは、自社に関係する脅威を見極め、その脅威に対して現在の防御・検知・対応が機能するかを検証し、改善につなげることです。
| 流れ | OpenCTI の役割 | OpenAEV の役割 | XTM One の支援 |
|---|---|---|---|
| 1. 脅威を理解する | 攻撃者、TTP、IOC、脆弱性、レポートを集約し、文脈化します。 | 検証対象となる脅威や攻撃手法を選定しやすくします。 | 脅威情報の取り込み、要約、エンリッチメントを支援します。 |
| 2. 優先度を決める | 自社の業種・資産・リスクに基づいて、対応すべき脅威を整理します。 | 優先度の高い脅威から検証シナリオを作成します。 | 脅威ハンティングや検証対象の整理を支援します。 |
| 3. 検証する | 脅威インテリジェンスを継続的に更新します。 | 攻撃シミュレーション、Atomic Testing、テーブルトップ演習を実行します。 | OpenCTI の情報をもとに OpenAEV の攻撃シナリオ作成を支援します。 |
| 4. 改善する | 検証結果を知見として蓄積し、調査・共有・レポートに活用します。 | 防御・検知・対応のギャップを可視化し、改善活動の優先順位付けを支援します。 | Remediation guidance や検知ルール作成の支援に活用できます。 |
XTM One で広がる活用
XTM One は、OpenCTI と OpenAEV をまたいだ脅威管理ワークフローにAIエージェントを活用し、分析・検証・改善の流れを効率化します。
レポート取り込みとエンリッチメント
脅威レポートや外部情報を取り込み、OpenCTI上で扱いやすい形に整理する作業を支援します。IOC、TTP、攻撃者、脆弱性、マルウェア、キャンペーンなどの情報を関連付け、分析に必要な文脈を整えやすくします。
脅威サマリーとレポート作成支援
OpenCTIに蓄積された情報をもとに、脅威の概要、関連する攻撃者、攻撃手法、影響範囲、注視すべきポイントを整理し、チーム内共有やレポート作成に活用できます。
脅威ハンティングの効率化
脅威ハンティングに必要な情報整理、検知ルール作成、関連情報の抽出を支援します。アナリストは、膨大な情報の整理よりも、自社環境で確認すべき脅威や兆候の判断に集中しやすくなります。
OpenAEVでの攻撃シナリオ作成
OpenCTIで整理された脅威インテリジェンスをもとに、OpenAEVの攻撃シナリオ作成を支援します。攻撃者のTTP、関連する脆弱性、攻撃手法を検証シナリオに反映しやすくなります。
Exposure Validation と Remediation 支援
OpenAEVによる検証結果をもとに、防御・検知・対応のギャップを整理し、優先度の高い改善活動につなげることができます。検知ルール、対応プロセス、セキュリティ製品の設定見直しなど、実務的な改善検討に役立ちます。
自社LLM・自社ルールに合わせたAI活用
XTM One は、利用組織のAI活用方針に合わせた設計を検討できます。自社LLM、独自エージェント、社内ツール、MCPサーバー、外部連携などを組み合わせ、データ管理要件や運用ルールに沿ったAI活用を進めやすくします。
OpenAEV でできること
OpenAEV は、Breach and Attack Simulation(BAS)や CTEM の実践に必要な検証活動を、脅威インテリジェンス主導で実行しやすくします。
- CTI-driven attack simulation: OpenCTI などの脅威インテリジェンスをもとに、優先度の高い脅威に沿った攻撃シナリオを作成できます。
- MITRE ATT&CK とのマッピング: 攻撃技術に基づいてテスト対象を整理し、検証結果をセキュリティカバレッジの改善に活用できます。
- Atomic Testing: 特定の攻撃技術やアクションに絞って、防御製品や検知ルールが機能するかを確認できます。
- Inject による検証: フィッシングメール、コマンド実行、DNS 解決、API 呼び出しなど、検証対象となるアクションを組み合わせられます。
- シナリオ型シミュレーション: 複数の Inject を組み合わせ、攻撃チェーンとして実行できます。
- Expectations: Prevention、Detection、Human Response など、期待される結果を定義して検証できます。
- 結果の可視化: 防御、検知、人の対応、脆弱性といった観点でシミュレーション結果を確認できます。
- テーブルトップ演習: サイバー危機発生時のエスカレーション、意思決定、チーム連携、広報・経営判断を含む対応力を確認できます。
- 既存環境への適応: Injectors、Executors、Collectors、既存 EDR 連携などにより、組織の運用環境に合わせた検証を設計できます。
Filigran を選ぶ理由
| メリット | 提供価値 |
|---|---|
| 脅威の理解から検証まで一貫 | OpenCTI と OpenAEV を組み合わせ、脅威インテリジェンスの整理、優先順位付け、攻撃シミュレーション、改善活動を同じエコシステムで運用できます。 |
| XTM One によるAI活用 | 脅威情報の取り込み、要約、脅威ハンティング、攻撃シナリオ作成、Remediation 支援などをAIエージェントで効率化できます。 |
| オープンソースの透明性 | コードやデータモデルを確認しやすく、独自要件に合わせた拡張や監査を行いやすい設計です。 |
| STIX 2.1 と MITRE ATT&CK の活用 | 標準的な脅威インテリジェンス形式と攻撃技術の整理により、組織横断で共通言語を持ちやすくなります。 |
| 人・プロセス・技術をまとめて検証 | セキュリティ製品の検知・防御だけでなく、対応チームの判断、エスカレーション、演習まで対象にできます。 |
| データ主権と柔軟な配備モデル | SaaS、オンプレミス、air-gapped、Bring Your Own Cloud など、組織のセキュリティ要件に合わせた構成を検討できます。 |
商用版を選ぶ理由
Filigran 製品はオープンソースを基盤としています。一方で、本番環境での安定運用、監査性、AI と自動化、柔軟な配備モデルを重視する場合は、商用版の利用が有効です。
| 対象 | 主な価値 |
|---|---|
| OpenCTI Enterprise Edition | Agentic AI、自動化、監査ログ、SaaS / オンプレミス / air-gapped、one-click integrations、PIR、レポート生成支援など。 |
| OpenAEV Enterprise Edition | AI-powered scenario generation、AI-augmented remediation、既存エージェント活用、SaaS / オンプレミス / Bring Your Own Cloud など。 |
| XTM One | 事前構成済みAIエージェント、自然言語操作、自社LLM活用、カスタムエージェント、ワークフロー構築、社内ツールやMCPサーバーとの連携など。 |
| 本番運用に向けた機能拡張 | アクセス制御、監査性、連携性、自動化、可視化など、継続的なセキュリティ運用に必要な機能を強化できます。 |
利用できる機能やライセンス範囲は、契約内容や導入形態によって異なります。OpenCTI、OpenAEV、XTM One の構成や必要なライセンスについては、要件に応じて確認することをおすすめします。
主なユースケース
脅威インテリジェンス管理
課題: 脅威フィード、レポート、IOC、TTP、脆弱性情報が分散し、実務で使いにくい。
解決策: OpenCTI により、複数の情報源を統合し、STIX 2.1 ベースで構造化。攻撃者、マルウェア、キャンペーン、技術、脆弱性、観測情報の関係を可視化します。
期待効果: 脅威情報を調査・共有・意思決定・レポート作成に活用しやすくなります。
インテリジェンス主導の SOC / 脅威ハンティング
課題: アラートが多すぎる一方で、優先順位付けや文脈付けに時間がかかる。
解決策: OpenCTI がアラート、IOC、TTP、レポート、脆弱性情報を関連付け、SOC の調査や脅威ハンティングに必要な文脈を提供します。XTM One を組み合わせることで、脅威ハンティングに必要な情報整理や検知ルール作成を効率化できます。
期待効果: 調査の初動、検知ルール作成、脅威ハンティング、関係者向けレポートまで、脅威インテリジェンスを運用に反映しやすくなります。
インシデントレスポンス
課題: インシデント対応時に情報が分散し、関係者間の認識合わせや再発防止の知見蓄積が難しい。
解決策: OpenCTI のケース管理、共有機能、自動化、AI 支援を活用し、インシデントに関連する脅威情報を一つの文脈で整理します。
期待効果: 調査、封じ込め、共有、再発防止に向けた知見蓄積を効率化できます。
継続的セキュリティ検証 / CTEM
課題: セキュリティ製品や検知ルール、対応プロセスが、実際の脅威に対して有効かを継続的に確認しづらい。
解決策: OpenAEV により、脅威インテリジェンスに基づく攻撃シミュレーション、Atomic Testing、シナリオ型検証を実行します。XTM One により、OpenCTI の脅威情報を OpenAEV の検証シナリオへつなげやすくなります。
期待効果: 防御カバレッジ、検知力、対応力、脆弱性対応のギャップを可視化し、優先度の高い改善活動につなげられます。
サイバー危機対応演習
課題: 技術的な検知・防御だけでなく、サイバー危機発生時の意思決定、エスカレーション、関係者連携を確認したい。
解決策: OpenAEV のテーブルトップ演習により、現実的なシナリオ、課題、期待される対応、演習結果を管理できます。
期待効果: CSIRT、SOC、経営層、広報、法務などを含む対応体制の確認と改善に役立ちます。
AIエージェントを活用した脅威管理
課題: 脅威情報の処理、レポート作成、ハンティング、シナリオ作成、改善提案に多くの時間がかかる。
解決策: XTM One により、OpenCTI と OpenAEV を横断してAIエージェントを活用し、脅威管理ライフサイクル全体の反復作業を効率化します。
期待効果: アナリストはデータ整理や定型作業に費やす時間を減らし、優先順位付け、意思決定、改善活動に集中しやすくなります。
ガバナンスとデータ主権
Filigran は、厳格なデータ保護要件や説明責任が求められる組織でも採用しやすい設計を備えています。
- ロールベースアクセス制御: 利用者や組織ごとに権限を設定し、共有範囲を管理できます。
- 監査ログ: 操作や変更の追跡により、運用の透明性と説明責任を強化できます。
- データ分離とアクセス管理: 複数組織・複数チームで利用する場合でも、アクセス範囲を制御しやすくなります。
- セルフホスト対応: オンプレミス、air-gapped、Bring Your Own Cloud など、要件に応じた配備モデルを検討できます。
- AI機能の制御: 組織のポリシーに応じて、利用するAI機能、モデル、エージェント、処理ルールを管理できます。
- 自社LLM活用: 自社で利用するLLMやAI基盤を活用し、データ主権やセキュリティ要件に合わせた構成を検討できます。
- オープンソースの可監査性: コードやデータモデルを確認しながら、自社ポリシーに沿った運用を設計できます。
導入・連携・運用
- 既存環境と連携しやすい: SIEM、SOAR、EDR、XDR、チケッティング、脆弱性管理、レポート基盤などと連携し、既存ワークフローを拡張できます。
- OpenCTI と OpenAEV を段階的に活用: 脅威情報の整理から始め、検証シナリオ作成、攻撃シミュレーション、改善活動へと運用範囲を広げられます。
- XTM One によるAI活用: 脅威情報の処理、ダッシュボード作成、脅威ハンティング、シナリオ作成、Remediation 支援などをAIエージェントで効率化できます。
- XTM Hub を活用: インテグレーション、フィード、ダッシュボード、シナリオなどの情報にアクセスし、評価や運用設計に活用できます。
- 柔軟な配備モデル: SaaS、オンプレミス、air-gapped、Bring Your Own Cloud など、組織のセキュリティ要件に合わせた構成を検討できます。
- 継続改善を回しやすい: 脅威情報の収集、優先順位付け、検証、改善を同じエコシステムで反復できます。
よくある質問(FAQ)
Q: OpenCTI はどのような製品ですか?
A: OpenCTI は、脅威フィード、レポート、IOC、TTP、攻撃者、マルウェア、脆弱性情報などを集約し、STIX 2.1 ベースで構造化・可視化・共有する脅威インテリジェンスプラットフォームです。
Q: OpenAEV はどのような製品ですか?
A: OpenAEV は、実際の攻撃シナリオや Atomic Testing、テーブルトップ演習を通じて、防御・検知・人の対応が想定どおりに機能するかを検証する Adversarial Exposure Validation プラットフォームです。OpenAEV は OpenBAS の新しい名称です。
Q: XTM One はどのような製品ですか?
A: XTM One は、Filigran XTM Platform 全体でAIエージェントを活用するための Agentic AI オーケストレーションレイヤーです。OpenCTI と OpenAEV を横断し、脅威情報の処理、脅威ハンティング、攻撃シナリオ作成、検証、改善支援を効率化します。
Q: OpenCTI と OpenAEV は別々に利用できますか?
A: それぞれ単独でも利用できます。ただし、OpenCTI で整理した脅威インテリジェンスを OpenAEV の攻撃シミュレーションや検証シナリオに活用することで、より実践的な脅威主導のセキュリティ検証を行いやすくなります。
Q: XTM One は OpenCTI や OpenAEV と組み合わせて使うものですか?
A: はい。XTM One は、OpenCTI と OpenAEV のワークフローを横断してAIエージェントを活用するためのレイヤーです。脅威情報を検証シナリオや改善アクションへつなげる運用に適しています。
Q: 自社LLMを利用できますか?
A: 契約内容や構成に応じて、自社LLMや独自AIエージェントの活用を検討できます。データ管理要件やAI利用ポリシーに合わせた構成については、個別に確認が必要です。
Q: OpenAEV は BAS や CTEM に使えますか?
A: はい。OpenAEV は、Breach and Attack Simulation(BAS)や、継続的な脅威エクスポージャー管理(CTEM)の取り組みにおいて、防御・検知・対応の有効性を検証する用途に適しています。
Q: 既存の EDR や SIEM / SOAR と連携できますか?
A: OpenCTI は SIEM、SOAR、EDR、XDR などのセキュリティスタックと連携しやすい設計です。OpenAEV も Injectors、Executors、Collectors、既存 EDR 連携などを通じて、組織の環境に合わせた検証を設計できます。
Q: 導入形態の選択肢は?
A: 製品や契約に応じて、SaaS、オンプレミス、air-gapped、Bring Your Own Cloud などの選択肢があります。データ主権やコンプライアンス要件に応じて構成を検討できます。
Q: どのような組織に向いていますか?
A: SOC、CSIRT、脅威インテリジェンスチーム、インシデント対応チーム、MDR / MSSP 事業者、セキュリティ検証を継続的に行いたい企業・公共機関・金融機関などに適しています。
メーカーの製品サイト
https://filigran.io/
【言語】英語


