要旨
現代のサイバーセキュリティは「守る側が常に後手に回る」という構造的な問題を抱えています。攻撃者は準備に数か月かけてターゲットを研究し、組織のセキュリティ体制の隙を突いて侵入します。一方、守る側は無数のアラートと格闘しながら、「本当に危険な脅威はどれなのか」を瞬時に判断しなければなりません。
この非対称な戦いに対する答えのひとつが脅威インテリジェンス(Threat Intelligence / CTI:Cyber Threat Intelligence)です。IPA(独立行政法人情報処理推進機構)は2024年版の「脅威インテリジェンス導入・運用ガイドライン」を公開し、日本国内でも組織的な活用が本格的に議論されるようになりました[1]。
本記事では「脅威インテリジェンスとは何か」という問いに対して、概念の定義から4種類の分類・ライフサイクル・主要フレームワーク・実践的なツールまでを体系的に解説します。
記事本文
1. 脅威インテリジェンスとは何か
1-1. 「データ」「情報」「インテリジェンス」の違い
脅威インテリジェンスを正しく理解するには、まず「データ・情報・インテリジェンス」という3つの概念を区別する必要があります[2]。
┌──────────────────────────────────────────────────────┐
│ │
│ データ(Data) │
│ → 生の事実の羅列。文脈がない。 │
│ 例:「203.0.113.1」というIPアドレスのログが残っている │
│ │
│ ↓ 文脈・関連情報を付加 │
│ │
│ 情報(Information) │
│ → 何かを伝えられるよう整理されたデータ。 │
│ 例:「このIPは過去にフィッシングで使われたことがある」 │
│ │
│ ↓ 分析・評価・判断を加える │
│ │
│ インテリジェンス(Intelligence) │
│ → 意思決定に使える「実行可能な知識」。 │
│ 例:「このIPは現在APT29が使用中のC2サーバーであり、 │
│ 自組織の業界を標的とする同グループのキャンペーンは │
│ 今後3か月以内に活発化すると予測される。 │
│ 直ちにこのIPへの通信をブロックし、 │
│ EDRのルールを更新することを推奨する」 │
│ │
└──────────────────────────────────────────────────────┘
「インテリジェンス」という概念は本来、軍事や諜報活動で使われてきた用語です。サイバーセキュリティの文脈では、サイバー攻撃の脅威に関する情報を収集・分析し、組織の意思決定に役立つ「実行可能な知見」として活用する仕組み全体を指します[3]。
重要なのは「インテリジェンスはデータではない」という点です。いくら大量のIPアドレスやハッシュ値を集めても、それだけでは「何をすべきか」「何を優先すべきか」という判断には直結しません。分析・評価・文脈の付与を経てはじめて意思決定を支援できる「インテリジェンス」になります[4]。
1-2. なぜ今、脅威インテリジェンスが重要なのか
脅威インテリジェンスへの注目が高まっている背景には、現代のサイバー攻撃の構造的な変化があります[1][5]。
攻撃の高度化・持続化(APT)
国家に支援された攻撃者グループ(APT: Advanced Persistent Threat)による標的型攻撃は、侵入から発見まで平均で数百日かかることも珍しくありません。従来のシグネチャベースの防御では検知できない「Living off the Land」戦術が一般化しています。
サプライチェーン攻撃の拡大
直接の標的組織だけでなく、その取引先・ソフトウェアベンダー・クラウドプロバイダーなどを経由した間接的な攻撃が増加しています。自組織単体の防御だけでは不十分です。
アラートの洪水と人手不足
SIEMやEDRが生成するアラートは1日数万件に達することもあり、セキュリティアナリストが全てを手動で確認することは不可能です。優先度付けを支援するコンテキストが不可欠です。
ランサムウェア・アズ・ア・サービス(RaaS)の普及
技術力の低い攻撃者でも高度なランサムウェアを使える「RaaS」エコシステムが発展し、攻撃者の裾野が急激に拡大しています[5]。
2. 脅威インテリジェンスの4つの種類
脅威インテリジェンスは、その利用目的・対象者・抽象度によって主に4種類に分類されます[1][3][6]。
┌──────────────────────────────────────────────────────────────┐
│ │
│ 高い抽象度・長期視点 │
│ ┌─────────────────────────────────────┐ │
│ │ 戦略的インテリジェンス(Strategic) │ ← 経営層・CISO │
│ └─────────────────────────────────────┘ │
│ ┌─────────────────────────────────────┐ │
│ │ 運用的インテリジェンス(Operational)│ ← CSIRT・管理者 │
│ └─────────────────────────────────────┘ │
│ ┌─────────────────────────────────────┐ │
│ │ 戦術的インテリジェンス(Tactical) │ ← SOC・アナリスト │
│ └─────────────────────────────────────┘ │
│ ┌─────────────────────────────────────┐ │
│ │ 技術的インテリジェンス(Technical) │ ← マルウェア解析者 │
│ └─────────────────────────────────────┘ │
│ 低い抽象度・短期視点 │
└──────────────────────────────────────────────────────────────┘
2-1. 戦略的インテリジェンス(Strategic Threat Intelligence)
対象者: 経営層(CEO・CISO)・取締役会・セキュリティ責任者
視野: 長期(数か月〜数年)
形式: 非技術的なレポート・ブリーフィング・ホワイトペーパー
組織全体のセキュリティ戦略の立案・投資判断・リスク管理の優先度付けを支援するための広い視野に基づくインテリジェンスです[7]。
技術的な詳細よりも「ビジネス上の意思決定」を支援することが目的であるため、経営層がサイバー脅威の全体像を理解できる形で提供されます。
主なコンテンツ例:
- 自組織が属する業界を標的とする脅威アクターの動向分析
- 国際的な地政学リスクがサイバー脅威に与える影響
- 競合他社や同業他社での最近の侵害事例とその教訓
- セキュリティ投資の優先領域についての分析
情報源: ニュースメディア・政府機関の政策文書・業界レポート・セキュリティベンダーの年次脅威レポート(Verizon DBIR、CrowdStrike GTR等)
2-2. 運用的インテリジェンス(Operational Threat Intelligence)
対象者: CSIRT・セキュリティ管理者・インシデント対応チームマネージャー
視野: 中期(数週間〜数か月)
形式: TTP分析レポート・キャンペーン分析・攻撃者プロファイル
特定の攻撃者グループや攻撃キャンペーンの具体的な行動パターン(TTP:戦術・技術・手順)を理解し、既存のセキュリティ対策の有効性を検証・改善するためのインテリジェンスです[1][8]。
「どんな攻撃者が、なぜ、どのように攻撃するのか」という問いに答えるものです。自組織を標的とする可能性がある攻撃グループを特定し、その攻撃手法に対して既存の防御が有効かどうかを先回りして確認できます[6]。
主なコンテンツ例:
- 特定の脅威グループ(Lazarus Group、APT29等)の最新の行動パターン
- 新たな攻撃キャンペーンで使われているエクスプロイトキットや侵入手口
- 攻撃者が利用するインフラ(C2サーバーのネットワーク構成等)
- 自組織の使用ソフトウェアに関連する脆弱性の悪用リスク
情報源: セキュリティベンダーのフォレンジックレポート・ダークウェブの監視・ISAC(情報共有分析センター)
2-3. 戦術的インテリジェンス(Tactical Threat Intelligence)
対象者: SOCアナリスト・CSIRT担当者・脅威ハンター・セキュリティエンジニア
視野: 短期(数日〜数週間)
形式: 機械可読な脅威フィード・IoCリスト・SIEMルール
日々のセキュリティ運用において、インシデントの予防・検知・対応に直接使える具体的かつ技術的な情報です[1][3]。SIEM・EDR・ファイアウォールといったセキュリティ製品に自動的に取り込まれるケースが多く、AIや機械学習による自動化との親和性が高い分野です[8]。
主なコンテンツ例(IoC):
| IoC種別 | 具体例 | 備考 |
|---|---|---|
| IPアドレス | 203.0.113.5 |
C2サーバー・スキャン元等 |
| ドメイン名 | malicious-domain.example.com |
フィッシング・マルウェア配布等 |
| URL | https://evil.example.com/payload |
マルウェアダウンロードURL等 |
| ファイルハッシュ |
d41d8cd98f00b204e9800998ecf8427e(MD5) |
既知マルウェアのハッシュ |
| メール件名 | 「重要:口座確認が必要です」 |
フィッシングキャンペーン |
ただし、戦術的インテリジェンスには有効期限があるという重要な特性があります[9]。IPアドレスやドメインは攻撃者がすぐに切り替えるため、古いIoCをそのまま使い続けても防御効果が薄れます。迅速な取得・適用・廃棄のサイクルが必要です。
2-4. 技術的インテリジェンス(Technical Threat Intelligence)
対象者: マルウェア解析者・脆弱性研究者・フォレンジック担当者
視野: 即時〜短期
形式: サンドボックス解析レポート・逆コンパイル結果・PoC(概念実証コード)
特定のマルウェアや攻撃ツールの内部構造・動作・挙動を技術的に詳細に分析した情報です[3]。新種マルウェアの検知シグネチャ作成・YARA/Sigma等の検知ルール整備・セキュリティ製品のチューニングに直結します。
主なコンテンツ例:
- マルウェアのコールバック先・通信プロトコル・難読化手法の解析
- エクスプロイトコードの動作原理と緩和策
- 攻撃キャンペーンで使われたカスタムツールのリバースエンジニアリング結果
3. 脅威インテリジェンスのライフサイクル
IPA「脅威インテリジェンス導入・運用ガイドライン 2024年版」では、脅威インテリジェンスを効果的に活用するための継続的なプロセスとして、以下の5段階のライフサイクルを示しています[1]。
┌─────────────────────────────────────────────────────────┐
│ │
│ ①方針策定 ─→ ②収集・加工 ─→ ③分析 ─→ ④配布 ─→ ⑤評価 │
│ ↑ │ │
│ └────────────────────────────────────────┘ │
│ 継続的なフィードバックループ │
└─────────────────────────────────────────────────────────┘
フェーズ①:方針策定(Planning)
「なぜ脅威インテリジェンスを導入するのか」という目的を明確化します。目的なき情報収集は大量のデータを生むだけで意思決定に貢献しません[6]。
自組織が何を守りたいのか(保護対象資産)・誰から守りたいのか(想定脅威アクター)・どの質問に答えたいのか(インテリジェンス要件)を定義します。
インテリジェンス要件の例:
・「自社が属する製造業を標的とする国家系APTグループの
最新のTTPは何か?」
・「現在進行中のランサムウェアキャンペーンで使われている
IoCを今日中に取得して検知ルールに適用できるか?」
・「競合他社や取引先が過去6か月で受けた侵害事例から
自組織が学べるリスクは何か?」
フェーズ②:収集・加工(Collection & Processing)
インテリジェンス要件に基づいて、適切な情報源から生データを収集し、分析可能な形式に整形します。情報源は大きく以下に分類されます[2][10]:
| 分類 | 説明 | 具体例 |
|---|---|---|
| OSINT(オープンソース) | 公開情報 | セキュリティベンダーブログ・CVEデータベース・政府機関の注意喚起・VirusTotal |
| HUMINT(人的情報) | 人を通じた情報 | ISACでの情報共有・業界コミュニティ・セキュリティ研究者のネットワーク |
| SIGINT/TECHINT | 技術的収集 | 自組織のSIEM・EDR・ファイアウォールログ・ハニーポット・ダークウェブ監視 |
| 商用フィード | 専門ベンダーからの購入 | Recorded Future・Mandiant・CrowdStrike・MSTIC等 |
フェーズ③:分析(Analysis)
収集・整形した情報を精査し、「組織の意思決定に役立つインテリジェンス」に変換します。これがライフサイクルの核心です[1]。
分析では以下の問いに答えることを目指します:
- この脅威は自組織にとって現実的な脅威か(関連性の評価)
- 攻撃者は誰か(脅威アクターの帰属分析)
- 攻撃者の意図・能力・機会はどの程度か
- 自組織の既存の防御で対応可能か(ギャップ分析)
- いつ・どこで攻撃が来る可能性が高いか
フェーズ④:配布(Dissemination)
分析結果を、適切な相手に・適切な形式で・適切なタイミングで届けます[1]。
どれだけ優れた分析でも、受け取る側が理解・活用できない形で届けられては意味がありません。
| 受け取り側 | 適切な形式 |
|---|---|
| 経営層・CISO | 非技術的な経営ブリーフィング・リスクサマリー |
| CSIRT・管理者 | TTP分析レポート・脅威アクタープロファイル |
| SOCアナリスト | 機械可読なIoCフィード・SIEMアラートルール |
| システム管理者 | パッチ適用優先度リスト・設定変更推奨 |
フェーズ⑤:評価(Feedback)
配布したインテリジェンスの有効性を評価し、次のサイクルに反映します[1]。
「このIoCは実際に自組織で検知に使えたか」「経営層のセキュリティ判断に役立ったか」といったフィードバックを収集し、方針策定フェーズに戻して継続的に改善します。
4. 脅威インテリジェンスを支える主要概念
4-1. IoC(Indicator of Compromise:侵害の指標)
IoCとは「攻撃者の活動を示す痕跡情報」です[11]。ログやシステム上に残る「攻撃者のデジタル指紋」と表現されることもあります。
IoCの代表的な種類:
ネットワーク系 IoC
├─ IPアドレス : 攻撃者のインフラ・C2サーバー
├─ ドメイン名 : フィッシングドメイン・マルウェア配布ドメイン
└─ URL : マルウェアダウンロードURL・C2通信先URL
ホスト系 IoC
├─ ファイルハッシュ : 既知マルウェアのMD5・SHA1・SHA256
├─ ファイルパス : マルウェアが作成するファイルの特定パス
├─ レジストリキー : 永続化のためのレジストリ操作跡
└─ ミューテックス名 : マルウェアが使用するMutex名(二重起動防止等)
メール系 IoC
├─ 送信者アドレス : フィッシングメールの発信元
└─ メール件名 : フィッシングキャンペーンで使われる件名パターン
4-2. TTP(Tactics, Techniques, and Procedures:戦術・技術・手順)
TTPは攻撃者の「行動の特徴」を体系化した概念で、脅威インテリジェンスの中核をなします[1][9]。
Tactics(戦術) : 攻撃者の大きな目標・フェーズ
例)「初期アクセス」「権限昇格」「横展開」
Techniques(技術) : 目標を達成するための具体的な手法
例)「スピアフィッシングメールによる侵入」
「Pass-the-Hash による横展開」
Procedures(手順) : 特定の攻撃者グループが実際に使う具体的な手順
例)「APT29はPowerShellを使ってBase64
エンコードされたペイロードをメモリ上で
実行し、WMIで永続化を行う」
TTPはIoCと比較して変化が遅いという重要な特性があります。IPアドレスやドメインは攻撃者が数時間で切り替えられますが、組織体制・ツールの好み・行動パターンといったTTPは変えるためのコストが高く、長期にわたって活用できる情報です[9]。
4-3. Pyramid of Pain(痛みのピラミッド)
David J. Bianco氏が提唱した「Pyramid of Pain」は、脅威情報の種類と攻撃者が変更するコストの関係を示したモデルです[1]。防御側がどの情報に注力すべきかを考える上で重要な指針となります。
ピラミッドの頂点(変更コスト:最大)
┌─────────────────┐
│ TTP(行動・手順) │ ← 攻撃者にとって最も変更が難しい
├─────────────────┤
│ ツール(マルウェア)│
├─────────────────┤
│ ネットワーク/ホスト │
│ アーティファクト│
├─────────────────┤
│ ドメイン名 │
├─────────────────┤
│ IPアドレス │
├─────────────────┤
│ ハッシュ値 │ ← 攻撃者にとって最も変更が容易
└─────────────────┘
ピラミッドの底辺(変更コスト:最小)
「防御側がピラミッドの上位を活用するほど、
攻撃者に与える"痛み(コスト)"が大きくなる」
ハッシュ値やIPアドレスのみに基づいた防御は、攻撃者にとってそれらを変更するコストが極めて低いため、実質的な障壁になりにくいです。より高いレイヤーのTTPに基づいた検知ルールを整備することが、長期的に有効な防御につながります[1]。
5. 主要なフレームワークと共有規格
5-1. MITRE ATT&CK
MITRE ATT&CKは、実際の攻撃事例から観察された攻撃者のTTPを体系化した知識ベースです[12]。現在、最もサイバーセキュリティ業界で参照される共通言語のひとつです。
MITRE ATT&CKの基本構造(エンタープライズマトリクス):
戦術(Tactics):14カテゴリ
├─ Reconnaissance(偵察)
├─ Resource Development(リソース開発)
├─ Initial Access(初期アクセス)
├─ Execution(実行)
├─ Persistence(永続化)
├─ Privilege Escalation(権限昇格)
├─ Defense Evasion(防御回避)
├─ Credential Access(認証情報アクセス)
├─ Discovery(探索)
├─ Lateral Movement(横展開)
├─ Collection(収集)
├─ Command and Control(C2)
├─ Exfiltration(流出)
└─ Impact(影響)
技術(Techniques):各戦術に複数の技術が対応
例) Initial Access > T1566 Phishing
├─ T1566.001 Spearphishing Attachment
├─ T1566.002 Spearphishing Link
└─ T1566.003 Spearphishing via Service
MITRE ATT&CKの実践的な活用方法としては、「脅威アクターのTTPをATT&CKのIDで記述することで、他組織との共通言語での情報共有が可能になる」「自組織の検知カバレッジのギャップを特定できる」などが挙げられます[12]。
5-2. STIX / TAXII
STIX(Structured Threat Information eXpression)とTAXII(Trusted Automated eXchange of Intelligence Information)は、脅威インテリジェンスの「標準フォーマット」と「配信プロトコル」です[13]。
┌─────────────────────────────────────────────────────┐
│ │
│ STIX(フォーマット) │
│ → 脅威情報をJSONで構造化して表現する規格(v2.1) │
│ → 「このIPはこのマルウェアキャンペーンに関連し、 │
│ このTTPで動作する」という関係をグラフで表現 │
│ │
│ TAXII(プロトコル) │
│ → STIXデータをHTTP REST APIで配信するための規格 │
│ → 組織間のリアルタイムな脅威情報自動共有を実現 │
└─────────────────────────────────────────────────────┘
組織A(STIX形式で脅威情報を記述)
↓ TAXII経由で自動配信
組織B・C・D(受信してSIEMに自動インポート)
現在の最新版はSTIX 2.1・TAXII 2.1で、OASIS Openが標準化を管理しています[13]。MITRE ATT&CK自体もSTIX形式でデータを公開しており、TAXIIサーバー経由でプログラマティックに取得することができます[12]。
5-3. MISP(Malware Information Sharing Platform)
MISPはオープンソースの脅威インテリジェンス共有プラットフォームです。STIX/TAXIIに対応しており、組織内・組織間でのIoC・TTP情報の収集・管理・共有を実現します。
# MISP のDocker起動例
docker pull misp/misp
docker run -d -p 443:443 --name misp misp/misp
# MISP REST API を使ったIoCの検索例
curl -k -H "Authorization: APIキー" \
-H "Accept: application/json" \
https://misp.example.com/attributes/restSearch \
-d '{"type":"ip-dst","value":"203.0.113.5"}'
6. 代表的な脅威インテリジェンスツール・サービス
脅威インテリジェンスを実践するためのツールは大きく4つのカテゴリに分類されます[6]。
6-1. 商用インテリジェンスプラットフォーム(TIP)
| ツール名 | 概要 | 特徴 |
|---|---|---|
| Recorded Future | SaaS型。90万以上の情報源をカバー | 特許取得済みの機械学習・ダークウェブ監視・多言語NLP対応[6] |
| Google Threat Intelligence(Mandiant) | GoogleとMandiantの統合サービス | AI補助による優先付け・Googleの広大なデータ活用[6] |
| CrowdStrike Falcon Intelligence | EDRと連携した統合型 | 脅威アクタープロファイルの充実・EDRとの深い連携 |
| Anomali ThreatStream | TIPとSOAR連携 | STIX/TAXII対応・既存SIEMとの統合が容易 |
6-2. オープンソースツール
| ツール名 | 概要 |
|---|---|
| MISP | 組織間のIoC・脅威情報共有プラットフォーム(NATO、EUでも採用) |
| OpenCTI | STIX2対応の知識グラフ型プラットフォーム |
| VirusTotal | ファイル・URL・IPのマルチエンジン評価(無料枠あり) |
| Shodan | インターネット上の公開デバイス・インフラの調査 |
| TheHive + Cortex | インシデント対応管理とIoC自動分析の連携 |
6-3. 情報共有コミュニティ(ISAC)
ISAC(Information Sharing and Analysis Center)は業界ごとに組織された脅威情報の共有コミュニティです[10]。金融・医療・エネルギー・ITなど各業界でISACが存在し、加盟組織間で匿名化・フィルタリングされた脅威情報を共有しています。
日本では日本シーサート協議会(NCA)・JPCERT/CCが脅威情報共有の中核的な役割を担っています。
ISAC による情報共有の流れ(例):
金融機関A ─┐
金融機関B ─┤→ 金融ISAC(匿名化・集約・分析) → 全加盟金融機関
金融機関C ─┘
例:ある銀行がフィッシングキャンペーンを検知 → ISACに報告
→ 同業他社が同じキャンペーンを事前に検知可能になる
7. 脅威インテリジェンスの課題
脅威インテリジェンスの有効活用に向けて、現場では以下の課題が多く挙げられます[1][4]。
① 「データ過多」と「インテリジェンス不足」の逆説
商用フィードや無料OSINT情報は膨大に存在しますが、大量のIoCを取り込むだけでは「偽陽性(False Positive)の洪水」を引き起こし、SOCアナリストの負荷をかえって増大させます。重要なのは「多く集めること」ではなく「自組織に関連する情報を絞り込んで文脈を付与すること」です。
② 戦略的活用の遅れ
IPAの調査でも「脅威インテリジェンスを演習シナリオの改善やセキュリティ戦略の根拠として活用している企業は少ない」という結果が示されています[1]。現場の監視・運用ツールとしては普及しつつある一方で、経営層の意思決定を支援する戦略的活用はまだ発展途上です。
③ TTPレベルの分析には専門スキルが必要
Pyramid of Painの上位に位置するTTPの分析は、マルウェア解析・リバースエンジニアリング・脅威アクターの行動パターン理解など高度なスキルを要します。日本国内では特にこのレベルの専門人材が不足しています。
④ 情報の鮮度管理
IoC情報は有効期限が極めて短く、古いIoCをSIEMに残し続けると偽陽性が増加します。自動化されたライフサイクル管理(収集・取り込み・評価・廃棄)の仕組みを整備しないと、運用コストが高騰します。
8. 考えるべきこと
脅威インテリジェンスは「導入すれば攻撃を防げるツール」ではありません。脅威インテリジェンスはあくまでも人間の判断を支援するものであり、判断そのものは人間が行うという原則は常に意識しておく必要があります[8]。
技術的なIoCの取り込みや戦術的インテリジェンスの自動化は比較的始めやすい一方で、「なぜ自組織が標的になりうるのか」「どの攻撃者グループを最も警戒すべきか」といった戦略的・運用的な問いに答えるためには、自組織のビジネス・資産・リスク許容度についての深い理解が前提となります。
脅威インテリジェンスを実践に組み込む出発点として、まずMITRE ATT&CKで自組織のセキュリティ検知カバレッジを可視化し、どの戦術・技術がカバーできていないかを把握することを推奨します。そこから「何の情報を優先的に収集すべきか」というインテリジェンス要件が自然と浮かび上がってきます。
参考文献
[1] IPA 産業サイバーセキュリティセンター. "脅威インテリジェンス 導入・運用ガイドライン 2024." 2024年.
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/f55m8k0000003510-att/f55m8k000000358r.pdf
[2] Codebook|Security News. "脅威インテリジェンスとは?種類や必要性をわかりやすく解説." November 26, 2025.
https://codebook.machinarecord.com/cyber-intelligence/threat-intelligence/24520/
[3] IBM. "脅威インテリジェンスとは." November 7, 2025.
https://www.ibm.com/jp-ja/think/topics/threat-intelligence
[4] KOTORA JOURNAL. "脅威インテリジェンスとは?基礎から活用・導入ガイドまで徹底解説." March 25, 2026.
https://www.kotora.jp/c/146249-2/
[5] 認証パートナー. "脅威インテリジェンスの全体像を基本から活用法まで徹底解説." June 27, 2025.
https://ninsho-partner.com/isms/column/threat-intelligence/
[6] Splunk. "サイバー脅威インテリジェンスとは?"
https://www.splunk.com/ja_jp/blog/security/what-is-cyber-threat-intelligence.html
[7] OpenText. "脅威インテリジェンスとは?"
https://www.opentext.com/jp/what-is/threat-intelligence
[8] hwdream.com. "脅威インテリジェンスとは?概要や種類、重要性を分かりやすく解説." June 13, 2025.
https://hwdream.com/threat_intelligence/
[9] Cloudflare. "脅威インテリジェンスとは?"
https://www.cloudflare.com/ja-jp/learning/security/glossary/what-is-threat-intelligence/
[10] NEC セキュリティブログ. "脅威インテリジェンス共有基盤の取り組み."
https://jpn.nec.com/cybersecurity/blog/210115/index.html
[11] シス担のミカタ. "IOC分析とは."
https://kobesoft.co.jp/mikata/words/security/ioc-analysis/
[12] MITRE ATT&CK. "ATT&CK Data & Tools."
https://attack.mitre.org/resources/attack-data-and-tools/
[13] シス担のミカタ. "STIX(Structured Threat Information eXpression)とは." April 9, 2026.
https://kobesoft.co.jp/mikata/words/security/stix/
[14] インテリジェント ウェイブ. "脅威インテリジェンスの教科書を買う前に." November 26, 2025.
https://www.iwi.co.jp/blog/security/cybersecurity_measures/202204-cti/
[15] 損保ジャパンサイバーセキュリティ. "高度化・巧妙化するサイバー攻撃対策 脅威インテリジェンスとは?"
https://www.sompocybersecurity.com/column/column/a43
[16] GMOセキュリティ24. "脅威インテリジェンスとは?重要性や具体的な導入の流れを紹介." June 10, 2025.
https://group.gmo/security/cybersecurity/penetration-testing/blog/threat-intelligence/