本記事では、セキュリティ担当者向けに、脅威インテリジェンス(CTI)とサイバーリスク管理の連携方法を解説します。
「CTI(脅威インテリジェンス)を導入しているのに、経営層への説得力がいまひとつ…」 「リスク管理と現場のセキュリティ対策が噛み合わず、脆弱性対応が後手に回ってしまう…」 そんなお悩みを抱えるCISOやセキュリティ担当者に向け、本記事ではCTIとサイバーリスク管理の連携ノウハウを解説します。脆弱性優先度付け、ランサムウェア対策、サプライチェーンリスクなど、具体的な事例を交えながら、経営層を納得させるリスク評価と最適な防御策を同時に実現する方法をご紹介します。
Mandiant の脅威インテリジェンスアドバイザーである Jamie 氏と、同僚の John 氏。二人が 約26分にわたり発表した 「Solving CISO Headaches: How to Align CTI and Risk Management」の動画の内容をベースにしています。
1. CTI チームとリスクチームの役割とは?
脅威インテリジェンス(CTI)チームとサイバーリスク管理(リスク)チームは、企業・組織のセキュリティを支える 2 つの異なる視点を持つ専門部署です。両者が何を担当しているかを簡単に整理すると以下のとおりです。
| 部署・チーム | 主な担当領域 | 主なアウトプット・成果物 |
|---|---|---|
| CTI チーム | - 外部攻撃者の手口(TTP)リサーチ - マルウェア分析、脆弱性情報収集 - インシデント発生時の技術的支援 - 攻撃動向レポート作成 |
- 脅威レポート(例:APTグループの攻撃キャンペーン) - IOC(Indicators of Compromise)の提供 - 脆弱性情報の早期認識や攻撃事例 |
| リスクチーム | - 自社システム・データに対するリスク評価 - 経営層・マネジメントへの報告・提案 - 保険・コンプライアンス対応 - 他部門とのリスクコミュニケーション |
- リスクアセスメント(例:ビジネス影響、金銭的損失試算) - リスク対応計画(保険の利用、コントロール強化) - 全社リスク報告書(経営層向け) |
CTIチームは「どんな攻撃が“今”流行しているか」「攻撃グループはどんな戦術を使うか」を把握し、現場へ技術的インプットを行います。
リスクチームは「それが自社ビジネスにどう影響するか」「どれぐらい予算を割くべきか」を経営層や他部門に伝える役割が大きいです。
2. CTIとリスク管理のライフサイクル比較
動画では、Jamie 氏と John 氏による講演の中で、CTI とリスク管理が類似のサイクルを持ちながら用語や焦点が異なるため連携が難しいと指摘されています。下記の表は CTI ライフサイクル と リスク管理ライフサイクル を対比し、それぞれの段階で何を目的にしているかを解説したものです。
| CTIのライフサイクル | 解説 | リスク管理ライフサイクル | 解説 |
|---|---|---|---|
| Plan (計画) | ステークホルダー分析や要件定義を行い、「どんな脅威情報を収集・提供すべきか」を計画。 | Plan (計画) | 組織全体のリスク管理方針を定め、どのリスクを優先的に評価・対応するかの大枠を決める。 |
| Collect (収集) | OSINT、ダークウェブ、攻撃者コミュニティなど幅広いソースから脆弱性・攻撃情報を収集。 | Identify (特定) | 自社システムや業務プロセスで「どんなリスク要素があるか」を洗い出す。資産と脅威要因の特定が中心。 |
| Analyze (分析) | 収集情報を精査し、マルウェア分析や TTP(攻撃手口)の関連付けを行う。優先度や攻撃グループの意図を推定。 | Analyze (分析) | 特定したリスクを定量・定性評価し、ビジネス影響や発生確率を算出。組織にとってどれほど深刻かをランク付け。 |
| Produce (報告・生成) | 分析結果をレポート化(例:APT動向、緊急脆弱性情報など)し、関係部門へ提示。 | Respond (対応) | 優先度に応じて対策を実施(コントロール強化、保険適用、ガイドライン整備など)。リスクを低減・回避する段階。 |
| Share / Feedback (共有) | SOC やリスクチーム、経営層などに情報を共有し、フィードバックを得る。次の Plan に反映。 | Monitor / Adjust (監視・調整) | リスク発生状況をモニタリングし、定期的に評価を見直す。必要に応じて計画や対策を更新し、次のサイクルへ。 |
- CTI: 攻撃者視点の外部情報(攻撃手口・脆弱性悪用状況など)を中心に収集・分析
- リスク管理: 自社の資産・業務優先度をベースに脅威を定量・定性評価し、対応策を推進
この2つを連携させることで、外部の脅威動向と内部のリスク評価が噛み合い、効果的な防御・対策が可能になります。
3. なぜ今“CTI × サイバーリスク管理”の連携が重要なのか?
(該当時間の目安:0:00~5:00)
Jamie 氏と John 氏によると、企業内で CTI とサイバーリスク管理が連携しない現状を問題視していました。リソース不足や経営層への説明不足がある一方、分業が進みすぎており、重複作業や不十分なコラボレーションが起きているとのこと。
- CTI チームとリスクチームがサイロ化し、連携不十分。
- 経営層に技術的な話を伝えきれず、リソースも分散・不足気味。
4. CTIチームとリスク担当が直面する課題
(該当時間の目安:5:00~10:00)
多くの組織では、「CTIは技術者向け」「リスク担当は現場に疎い」など、誤解や専門用語の違いが連携のブロックになっています。ところが、実際は ゼロサムではなく相乗効果が得られるとのこと。
- 典型的な誤解
- 「CTIは運用向け。経営戦略には関われない。」
- 「リスク担当はセキュリティの最前線を知らず、使えない評価ばかり。」
- 経営層への影響力を高める(06:02)
- CTIがリスク評価に関わることで、M&Aや海外進出など戦略的な場面で直接アピール可能。
- 相乗効果の具体例
- 連携すれば作業重複を減らし、組織全体でコスト削減+防御力UPを期待できる。
サイバーリスク: 情報資産へのリスクを定義・分析・評価し、組織全体のリスクマネジメントを行う領域。
サイバーリスクと脅威インテリジェンスはそれぞれ独自の領域を持ちながら、真ん中の重なり合う部分で協力することで、より効率的かつ強固なセキュリティを構築できます。(該当時間の目安:10:38)
上図の見方
- Cyber Risk(左円)
ビジネス継続・バックアップ・監査・災害対策など、企業経営と直結する視点が中心。 - Threat Intelligence(右円)
攻撃者の手口(TTPs)やマルウェア分析など、外部脅威の研究・把握をメインとする視点。 - 共通領域(中央)
脅威の全体像や脆弱性管理など、両者が協力して情報交換すると相乗効果が大きいテーマ。
図の内容は下記のとおりです。
| Cyber Risk (左円) | 共通 (両チームの関心領域) | Threat Intelligence (右円) |
|---|---|---|
| - Risk assessments ビジネス視点でのリスク評価 - Backup strategy バックアップ戦略 - Continuity of business operations 事業継続計画 (BCP) - Auditing 監査・評価プロセス - Compliance Resilience 規制対応やコンプライアンス強化 - Disaster recovery strategy 災害復旧計画 |
- Cyber threat landscape どんな脅威がどの業種・システムを狙うかの全体像 - Risk calculation 脅威頻度×ビジネス影響の算出 - Vulnerability and patch management 脆弱性やパッチを優先度付けし管理 - Threat modelling 攻撃可能経路の可視化と対策計画 - Countermeasures 具体的な防御策・検知策を検討 - IP theft 知的財産の窃取リスク |
- Attacker techniques 攻撃者の各種テクニック - TTPs (Tactics, Techniques, Procedures) 攻撃の戦術・手法・手順 - Hunt teams 潜伏攻撃を proactively 探索するチーム - Malware analysis マルウェアの静的・動的解析 - Adversary campaigns 攻撃者グループが展開するキャンペーン - Intrusion sets 攻撃者が用いる共通ツールやインフラ - Adversary tradecraft 難読化やステルス化など攻撃者の熟練技術 |
5. CTIを活かしたサイバーリスク連携の基本ステップ
(該当時間の目安:10:00~15:00)
脅威インテリジェンスのライフサイクル(ステークホルダー分析、要件定義、レポート化など)をそのままリスク部門に“移植”する形で適用すると、大きな成果が得られます。特に CTIチームは教育者の立場になって、リスク担当や経営層が理解しやすい形で情報をまとめるのが鍵です。
- ステークホルダー分析を徹底
リスク担当者が何を不安に思い、どの情報を欲しているかを把握。 - インテリジェンス要件定義
興味深い攻撃例を羅列するだけでなく、リスク担当が「自社にどう関係するか」を理解できる形に落とし込む。 - “機会”を減らす概念(13:25)
CTI理論でいう「脅威=意図×能力×機会」のうち、企業がコントロールしやすいのは“機会(攻撃面)”。ここを削減する発想をリスク評価へ組み込む。
この図では、脅威 (Threat) を構成する3つの要素と、組織がどこをコントロールできるかを示しています。また、右側の円(Venn diagram)では、脅威情報・自社技術スタック・既存セキュリティ制御の重なり合う部分が“リスク低減のフォーカスポイント”となることを示唆しています。
脅威=Capability × Opportunity × Intent
- Capability(能力)
- 攻撃者が持つスキル・リソース。ゼロデイ開発能力や巧妙なフィッシング手口など。
- Opportunity(機会)
- 攻撃が成立するための余地や攻撃面(アタックサーフェス)。未パッチの脆弱性やインターネット上に露出しているサービスなど。
- Intent(意図)
- 攻撃者の動機(経済的目的、政治的目的など)や攻撃意志の強さ。
ポイント:
組織としては、意図や能力を変えるのは難しいが、「Opportunity(機会)」を減らすことは可能。つまり、攻撃面を小さくし、脆弱性を優先度高く修正するなどで、Relevant Threat(実際に成立し得る脅威)を効果的に低減できる。
リスク低減のフォーカスポイント
右側の円では、Adversary Threats and Trends(攻撃者の脅威動向)、Integrated Tech Stack(統合された自社の技術基盤)、Existing Security Controls(既存のセキュリティ対策)という3要素が重なり合っています。中央に重なる箇所は、「脅威の実態」と「自社の防御策」「利用可能な技術」が交差する部分であり、
- 攻撃者の手口やトレンドを理解し(Threats and Trends)
- 自社固有のシステム構成や技術スタック(Integrated Tech Stack)と照らし合わせ、
- 既存のセキュリティコントロール(Existing Security Controls)でどれだけ防げるかを評価したうえで、必要な強化策を打つ
という一連の流れが示されます。
6. RACIマトリックスで役割分担を明確に
たとえば、CTIが“脅威情報の提供”をResponsibleとし、リスク担当は“経営層への報告”を責任範囲にする――など各フェーズで誰が主体となるかを定義すれば、混乱が減り、意思決定のスピードが上がります。
RACIマトリックス: 誰が責任を持つか(Responsible, Accountable, Consulted, Informed)を明確にする役割定義手法
Activityのぞれぞれの行について説明します。
6.1. 「Identify and document cyber threat factors」の例
| 作業内容 (Activity) | 担当者 (Responsible: R) | 最終責任者 (Accountable: A) | 相談先 (Consulted: C) | 共有先 (Informed: I) |
|---|---|---|---|---|
| Identify and document cyber threat factors (脅威要因の特定と文書化) | CTI | CTI | IT Leadership (ITリーダー) | Risk (リスクチーム) |
- 作業内容 (Activity)
- 「脅威要因を特定し、文書化する」タスクです。具体的には、外部攻撃者の TTP(手口・手順)や流行しているマルウェア、脆弱性情報などを洗い出し、組織への影響を含めてドキュメント化します。
- 担当者 (Responsible: R) = CTI
- 実際に脅威情報をリサーチしてまとめるのは CTI チーム。
- 外部脅威や攻撃者コミュニティの情報収集は CTI の得意分野です。
- 最終責任者 (Accountable: A) = CTI
- 本タスクの成果物に対して最終責任を持ち、クオリティを保証するのも CTI。
- ドキュメント化した脅威要因に誤りや漏れがないかを CTI が最終的にチェックします。
- 相談先 (Consulted: C) = IT Leadership
- 組織内のシステム構成や優先度を把握している IT リーダーに意見を求めることで、文書化する脅威要因の精度を高めます。
- 共有先 (Informed: I) = Risk
- 文書化された脅威要因をリスクチームへ共有し、リスクアセスメントに反映してもらいます。
6.2. 「Lead cyber risk assessments」の例
| 作業内容 (Activity) | 担当者 (Responsible: R) | 最終責任者 (Accountable: A) | 相談先 (Consulted: C) | 共有先 (Informed: I) |
|---|---|---|---|---|
| Lead cyber risk assessments (サイバーリスク評価を主導) | Risk (リスクチーム) | Risk (リスクチーム) | CTI | IT Leadership (ITリーダー) |
- 作業内容 (Activity)
- 「サイバーリスク評価をリードし、どのリスクがどれだけ重大かを洗い出す」タスクです。
- ビジネス影響や発生確率を算出し、優先度を付ける作業が中心となります。
- 担当者 (Responsible: R) = Risk (リスクチーム)
- リスクチームが実際のアセスメント(ヒアリング、分析手法の適用など)を実行し、管理表や評価レポートを作成します。
- 最終責任者 (Accountable: A) = Risk (リスクチーム)
- リスク評価の正確性や、経営層へ報告する最終結果にも責任を負います。
- 相談先 (Consulted: C) = CTI
- 攻撃者がどのような脆弱性を狙っているか、どんな攻撃キャンペーンが活発かなど、CTI からの情報を活かして評価の精度を高めます。
- 共有先 (Informed: I) = IT Leadership (ITリーダー)
- リスク評価の最終結果を報告し、必要な予算や協力を仰ぐ。現場レベルでの対応との連携をスムーズに行えるようにする。
6.3. 「Develop threat models」の例
| 作業内容 (Activity) | 担当者 (Responsible: R) | 最終責任者 (Accountable: A) | 相談先 (Consulted: C) | 共有先 (Informed: I) |
|---|---|---|---|---|
| Develop threat models (脅威モデルの開発) | IT Security (セキュリティ部) | IT Security (セキュリティ部) | Risk (リスクチーム), CTI (脅威チーム) | IT Leadership (ITリーダー) |
- 作業内容 (Activity)
- 「脅威モデルを設計・構築する」タスクです。攻撃経路の可視化や侵入経路と防御策のマッピングなどを行います。
- 担当者 (Responsible: R) = IT Security
- セキュリティ部門が具体的なモデル(例:STRIDE、MITRE ATT&CKのマトリクス等)を作り込みます。
- 最終責任者 (Accountable: A) = IT Security
- モデルの完成度と、実際に活用する際の有効性を最終的に保証。
- 相談先 (Consulted: C) = Risk, CTI
- リスクチームにビジネス影響を確認し、CTI チームに脅威情報をヒアリングしてモデルを精度UP。
- 共有先 (Informed: I) = IT Leadership
- 脅威モデルを報告し、チーム間連携や新しいツール導入などを検討してもらう。
6.4. 「Validate cyber threats to crown jewels」の例
| 作業内容 (Activity) | 担当者 (Responsible: R) | 最終責任者 (Accountable: A) | 相談先 (Consulted: C) | 共有先 (Informed: I) |
|---|---|---|---|---|
| Validate cyber threats to crown jewels (最重要資産への脅威検証) | CTI (or red team) (脅威チーム等) | Risk (リスクチーム) | Risk (リスクチーム) | IT Leadership (ITリーダー) |
- 作業内容 (Activity)
- 「組織の“クラウンジュエル”(最重要資産)がどの程度脅威に晒されているかをテスト・検証する」タスク。
- ペネトレーションテストやレッドチーム演習などを通じて、実際に攻撃が成立するかを確認。
- 担当者 (Responsible: R) = CTI (or red team)
- CTI チームや専門のレッドチームが攻撃シミュレーションを行い、どれくらい脆弱かを調べる。
- 最終責任者 (Accountable: A) = Risk
- テスト結果を最終的に受け取り、ビジネスへのインパクトやリスク優先度を再評価し、対策を策定する責任を負う。
- 相談先 (Consulted: C) = Risk
- CTI (red team) がテスト中にリスク担当へ進捗や問題点を共有し、対応策の方向性を相談。
- 共有先 (Informed: I) = IT Leadership
- ITリーダーは最終結果を受け取り、システム保護や予算配分などを見直す材料とする。
7. 具体的なフレームワークとワークフローとその活用例
(該当時間目安:18:15
CTI分野とリスク管理分野がそれぞれ利用しているフレームワークを対比し、どのようなワークフローで連携できるかを解説します。
下記の表は、左側に Cyber Security / CTI 分野で使われる典型的なフレームワーク群、右側に Risk Management(リスク管理)で採用される主要フレームワークを示し、その中央には両方にまたがる定量分析や情報共有のためのモデルが記載されています。
上図の各種フレー厶ワークの概要とリンクを掲載します。
| Cyber Security / CTI(図中の左) | 共通(定量分析・情報共有)(図の重なる部分) | Risk Management(図の右) |
|---|---|---|
| Diamond Model of Intrusion Analysis 攻撃者、被害者、インフラ、能力(TTP)で体系的に理解。 |
FAIR 定量的な情報リスク分析モデル。 |
NIST Risk Management Framework システムや情報資産のリスク管理プロセス。 |
| MITRE ATT&CK 攻撃手口・技術(TTP)のナレッジベース。 |
VERIS インシデント記録・共有のための共通語彙。 |
NIST Risk Framework Profiles 組織・業種に合わせたリスク管理の考え方。 |
| Lockheed Martin’s Cyber Kill Chain 複数フェーズに分けた攻撃の可視化。 |
ISF Quantitative Techniques in Information Risk Analysis 定量的リスク分析の手法。 |
|
| The Mandiant Targeted Attack Lifecycle ターゲット型攻撃ライフサイクル。 |
OWASP’s Risk Rating Methodology Webアプリ脆弱性評価のリスクレイティング方法。 |
|
| The Unified Cyber Kill Chain 従来モデルを統合・拡張した攻撃プロセス。 |
上記のように、CTI / サイバーセキュリティ分野は攻撃者視点のモデルが多く、リスク管理ではビジネスインパクトやコンプライアンスを重視するフレームワークが中心です。中央部分のモデル(FAIR、VERISなど)は、両者をブリッジする定量分析や情報共有規格として機能しますので中央部分のモデルをベースに両者が協力できるでしょう。
では、具体的に CTI がどの段階でリスク管理に情報を提供し、リスク側がどう活用するか を可視化すると、どうなるのでしょうか。次の図を使って CTI のライフサイクルとリスク管理のライフサイクルの重なり合いを見ていきましょう。
- 上段が CTI の各フェーズ(Plan → Collect → Analyze → Produce → Share/Feedback)
- 下段が リスク管理の各フェーズ(Plan → Identify → Analyze → Respond → Monitor/Adjust)
この図では、以下のような情報フローが矢印で示されています:
- Plan(リスク)から Plan(CTI)
- リスク評価の結果、「どのシステムやデータがクリティカルか」を CTI 側が知ることで、脅威情報の収集・分析の優先度を調整できます。
- たとえば、リスクチームが「社内の財務システムがビジネス的に最重要」と判断すれば、CTI チームはそのシステムを狙う攻撃者や脆弱性を重点的に監視する形になります。
- Produce(CTI)→ Identify(リスク)
- CTI チームが脅威情報や攻撃者の動向を収集し、そのレポートをリスクチームへ提供。
- リスクチームは新たに判明した脅威を自社環境にあてはめて、「どんな新しいリスク要素が出てきたか」を特定(Identify)に役立てます。
- Produce(CTI)→ Analyze(リスク)
- CTI 側で行った脅威モデリング結果が、リスクチームのインパクト分析(ビジネス影響度や発生確率)を補強します。
- 具体的には、「どの攻撃が今最も活発か」「どの脆弱性が最新の攻撃キャンペーンに使われているか」といった分析が、リスクの深刻度を上げ下げする要因となります。
- Produce(CTI)→ Respond(リスク)
- CTI チームがまとめたレポート(攻撃手法や TTP、検知ポイントなど)をリスクチームが受け取り、対策プラン(Respond)を立案します。
- たとえば「APTグループが特定のRDP脆弱性を使う事例が増えている」なら、リスク側はパッチ適用やポート制限などの防御策を優先的に進めます。
- Respond/Monitor/Adjust(リスク)→ Share/Feedback(CTI)
- CTI チームは継続的に新しい脅威情報(攻撃キャンペーンのアップデート、検知ルールの更新など)を共有し、リスク側はその情報をモニタリングや計画調整に反映。
- 必要に応じて対策を強化し、レポートのフィードバックを CTI 側に返すことで、次の Plan (CTI) に活かす循環が生まれます。
ポイント:
CTI 側の情報が「何がどう脅威か」を示し、リスク側が「自社のどこにどれだけ影響があるか」を評価する。この循環を両チームで繰り返すことで、リアルタイムに変化する攻撃リスクへ効率良く対応できるようになります。
8. 3つのケーススタディ:脆弱性管理・ランサムウェア・サプライチェーン
(該当時間の目安:20:00~25:00)
動画中で示された 脆弱性の優先度付け / ランサムウェアとサイバー保険 / サプライチェーンリスク の事例を取り上げます。
脆弱性の優先度付け
- CVSSスコアのみならず、脅威アクターの攻撃頻度やビジネス影響を総合的にみてリスク判断。
ゼロデイ・ワンデイ脆弱性の早期キャッチ:
多くの脆弱性管理ツールは公的なデータソース(CVEベース等)をもとに検知するため、“出たばかり”の脆弱性を把握しづらい場合があります。
一方、CTI ではダークウェブ監視や攻撃者コミュニティ追跡により、未登録のゼロデイ・ワンデイ情報を先回りで入手できる可能性が高いです。
こうした早期情報を脆弱性管理プラットフォームへフィードバックし、組織内システムの影響度を即座に照合すれば、緩和策や防御策を先行して適用できるメリットが期待できます。ランサムウェアとサイバー保険
- ランサムウェアは日々進化し、保険範囲が限定されるケースも増加。
- CTI が初期侵入ベクター(例:RDPやフィッシング)を分析し、リスク担当が保険+技術的防御策の両立を考慮。
サプライチェーンリスク
- ソフトウェアビルド工程への改ざん、外部ベンダー侵入が注目されている。
- CTI が「どの攻撃グループがビルド環境をどう狙うか」を収集し、リスク側が影響度と対策順位を決定。
9. 【参考】SSVCで脆弱性管理を最適化
本動画では直接触れられていませんが、脆弱性管理の脅威とリスクの両面から対応優先度を判断可能なフレームワークとして「SSVC(Stakeholder-Specific Vulnerability Categorization)」があります。
SSVC の考え方
CVSSスコアだけでなく、企業のビジネス影響度やリアルタイムのエクスプロイト状況を決定木方式で評価するアプローチです。CTI とリスクの両方の観点を統合しやすく、FutureVuls のような脆弱性管理ツールと組み合わせれば効果的。
| Decision Point | リスク的観点 (Impact/Business) ビジネスに与える影響度や金銭的損失を評価 |
CTI的観点 (Threat/Exploitation Status) 攻撃者が実際に使っているか、流通しているエクスプロイトの有無など |
|---|---|---|
| Exploitation Status | 組織内での発見状況、報告事例など すでに検知されているか、未対策のままか |
攻撃者がどの脆弱性を使っているか、活発度合い APTやサイバー犯罪者グループが本格的に悪用しているか |
| Exposure | システムのインターネット露出 攻撃者から到達可能な範囲かどうか |
Nessus や Shodan などの結果から、外部攻撃面をCTIチームが補足 実際に公開されているポートやサービスを把握 |
| Automation Potential | 緊急修正が必要か、他の対策との兼ね合い 事業優先度に応じた対応速度の検討 |
攻撃が自動化されるか(ボットネット化、スクリプト量産) 大規模キャンペーン化の危険性、ツール化の度合い |
| Mission/Business Impact | 金銭的損失・サービス停止リスク 該当システムが基幹かどうか |
CTIが被害規模や業界動向を補足することで優先度アップ 同業他社が既に攻撃を受けている事例など |
- Exploitation Status: 攻撃者が実際にどの脆弱性を使い始めているか、PoCコードが出回っているかを示す指標。
- Exposure: システムやサービスがインターネット上にどの程度公開されているか。
- Automation Potential: 攻撃が自動化され、大規模に拡散する危険性。
- Mission/Business Impact: システム停止時の金銭損失や事業への影響度合い。
SSVC を導入することで、ゼロデイ・ワンデイ情報の早期認識など CTI独自のインプットを反映し、「今すぐ取り組むべき脆弱性」と「後からでも間に合う脆弱性」を合理的に仕分けられます。
参考
- CERT/CC: SSVC: Stakeholder-Specific Vulnerability Categorization
- SSVCを使いこなそう 〜CISA × CERT/CCが提案する効率的な優先度付けフレームワーク〜
- Vulsまつり#10 | 「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ
10. まとめ:CTIとリスク管理がもたらす価値
動画では、脅威インテリジェンスとサイバーリスク管理を連携させることで、次のようなメリットがあると強調されています。
- 経営層への説得力が上がる
- CTIの専門的情報が、リスクの文脈を通じてビジネスインパクトとして提示される。
- 脆弱性対策の優先度を最適化
- CVSSだけでは測れないリアルタイム脅威(例:ゼロデイの検知や攻撃頻度)を CTI が拾い、ビジネス影響をリスクが補完することで、修正順序が明確に。
- 重複作業の削減とリソース効率UP
- CTIチームとリスク担当が同じ情報を共有し、SOC運用にも反映することで、無駄が省ける。
- 具体的ユースケースにも応用可能
- ランサムウェア保険、サプライチェーンリスク、M&A時のリスク評価など、多様なシーンで双方が相乗効果を発揮。
企業のセキュリティ担当者としては、脆弱性管理ツールやCTIの導入を検討するだけでなく、リスク管理部門との連携体制を整えることで、より実践的なセキュリティ強化が期待できるでしょう。
FutureVuls ではSSVCをベースにした脆弱性の自動優先度付けや、脅威情報を用いた脆弱性管理に対応しており、貴社のリスク管理を強力にサポートできます。
徹底的に自動化された脅威ベース・リスクベースの脆弱性管理に興味があれば、ぜひFutureVulsまでお問い合わせください。