レポート:効果的な脅威インテリジェンスにおける主な課題

レポート:効果的な脅威インテリジェンスにおける主な課題
政府のハッカーが巨大スクリーンでサイバー脅威を分析
画像: Envato/DC_Studio

Forrester Consulting と Google Cloud による 2025 年 7 月の脅威インテリジェンス ベンチマーク レポートによると、脅威インテリジェンス担当者にとっての最大の課題の 1 つは、データ フィードが多すぎることです。

Forrester Consulting は、英国、オーストラリア、日本を含む国々の 12 業界にわたる 1,500 人を超える IT およびサイバーセキュリティのリーダーを対象に調査を実施しました。

脅威インテリジェンスの向上における最大の課題

レポートによると、脅威インテリジェンス機能の向上における最も困難なデータと分析のハードルは次のとおりです。

  • 脅威インテリジェンスデータフィードが多すぎる (61%)。
  • 熟練した脅威アナリストの不足 (60%)。
  • データを実用的なものにするのが難しい (59%)。
  • 脅威の妥当性や関連性を検証することが困難(59%)
  • どのインテリジェンスが適用されるかを判断するのが難しい(49%)。

回答者の 82% が、アラートとデータの数が多すぎるために脅威を見逃してしまうのではないかと懸念している、または非常に懸念していると回答しました。

回答者の 61% がフィードが多すぎることを課題として挙げ、60% が熟練したアナリストの不足を指摘しました。

この膨大なデータ量は、コラボレーションの妨げにもなっています。レポートによると、回答者の66%が、適切なチームと脅威インテリジェンスを共有するのが困難だと回答しています。

AIは脅威イ​​ンテリジェンス担当者向けの情報要約を支援

セキュリティチームが直面する膨大な情報量を管理するため、AIツールの利用がますます増加しています。レポートによると、回答者の69%が、脅威インテリジェンスにおける生成AIの最も有益な活用方法は要約の生成であると回答しました。その他の利点として、以下のようなものが挙げられています。

  • 脅威と脆弱性を優先順位付けする能力の向上(68%)。
  • 脅威インテリジェンスを関係者にとってよりアクセスしやすいものにする (68%)。
  • ジュニアアナリストをサポートするための実用的な推奨事項を提供する (63%)。
  • 優先度の高いタスクのために時間を確保する (60%)。
  • 意思決定の改善(50%)

「興味深いことに、AIの明確な優位性は見られず、むしろ要約、優先順位付け、コミュニケーションといった分野におけるメリットが集約されていることがわかりました」と、Google CloudのGoogle脅威インテリジェンス・グループ・ディレクター、ジェイス・ニコルズ氏はTechRepublicへのメールで述べています。「組織は明らかに、チームにとってAIを最も効果的に活用する方法を模索している段階です。」

ただし、AI はエラーを引き起こす可能性もあります。Google Cloud では、安全かつ監視可能な方法で AI をワークフローに組み込むことを推奨しています。

「AIによる対応の質は日々向上していますが、人間は依然としてデューデリジェンスを実施し、行動を起こす前に出力の重要な部分を二重チェックする必要があります」とニコルズ氏は述べています。「これは、回答者の81%が脅威インテリジェンスにおけるAIの活用は信頼できるベンダーのみに信頼を置いているという調査結果と一致しています。」 

リスクの高い資産を優先し、敵を知る

レポートの調査結果に基づき、Google Cloud は組織に対し、まず自社のビジネスにおける重要度の高いニーズを特定し、脅威インテリジェンスリソースをより効果的に配分する場所を決定することを推奨しています。特定の組織やセクターを標的とする可能性が高い敵対者を理解することも、重要な戦略の一つです。

Google Cloud では、共有された脅威インテリジェンスの有用性を高めるために、脅威インテリジェンス、インシデント対応 (IR) チーム、セキュリティ オペレーション センター (SOC) 間のコミュニケーションを改善することも推奨しています。

SOC および IR アナリストは、プロアクティブな脅威ハンティング、アラートのコンテキスト化、カスタム検出の開発、インシデント対応のサポートなど、より効率的に作業できるタスクを優先する必要があります。

一方、脅威インテリジェンス チームには、平均対応時間、アラートの忠実度、ブロックされた脅威、インテリジェンス主導のハンティングによって特定された脅威の数などの重要な指標を使用してパフォーマンスを追跡することが推奨されます。

SharePoint インスタンスはどの程度無防備状態ですか? CVE エクスプロイトとハッカーの戦術を詳細に分析することで、セキュリティ対策の第一歩を踏み出すことができます。  

Tagged: