脅威インテリジェンスへの支出は増え続け、組織が購読するフィードの数も増えている。だがMalantaの新たな調査は、インテリジェンスが増えても攻撃の減少にはつながっていないことを示唆する。その理由は見過ごすべきではない。
Malantaは2025年9月から11月にかけて、セキュリティ専門家100人を対象に調査を実施した。回答者はCISO、VP、ディレクター、マネージャーなど、セキュリティリーダー層の幅広い層で構成され、6カ国35以上の業界にわたる企業組織に所属している。大半は従業員1万人以上の組織からの回答だ。リソースや経験が不足しているチームではない。
フィードの問題
現在、多くの企業は5〜8本の脅威インテリジェンス・フィードを運用しており、中には最大53本を管理するところもある。フィードを積み上げる発想は一見もっともらしい。カバレッジが広いほど可視性が高まるからだ。だが調査回答者の71%は、フィード間に大きな重複があると報告している。つまり、重複データに対して支払っているケースが大半だということになる。
さらに、脅威インテリジェンスのプロセスが最も頻繁に破綻する箇所を尋ねたところ、回答者の100%が同じ点を挙げた。シグナルを実際の脅威に結び付けることだ。全員である。フィードを増やしても根本問題が解決していないことを示す、極めて明確なサインだ。
調査対象となったITサービス部門のあるディレクターは状況を率直にこう語る。「課題は、ほとんどのフィードが大きく重複しており、攻撃を予測したり防いだりする能力を本質的に高めないまま、量だけを増やしている点にある。我々は、攻撃者の意図とインフラをより早い段階で特定できるインテリジェンス・ソースを優先している」
依然として手作業が中心
調査によると、組織の84%が脅威インテリジェンスに手作業またはリアクティブなアプローチを用いている。取り込みとブロックを完全自動化しているのは31%にとどまる。残り69%はプロセスのどこかに手作業があり、つまりアナリストは予防ではなく検証に時間を費やしている。
回答者の68%は、インジケーター検証だけで週に1〜2時間を費やしている。17%は1日に数時間を割いている。フィードがすでに伝えている内容を確認するために、アナリストの相当な時間が使われており、それを行動に移すことに向けられていない。
ある保険会社の脅威検知部門グローバル責任者はこう指摘する。「我々は、サイバーインシデント対応を進める最中に、追加の洞察を得るため脅威インテリジェンスチームとやり取りするなど、手作業のプロセスに大きく依存している。これが、極めて非効率なトリアージと対応プロセスにつながっている」
物流・サプライチェーンのセキュリティアーキテクトは、自社の体制をこう説明した。「主要ベンダーからの標準的な脅威リストとIOCの取り込みを、主にSIEMへ直接自動化している。既知の悪性リソースに焦点を当てた、純粋にリアクティブなプロセスだ」
誤ったものを測っている
調査では、組織が成功をどのように測定しているかも尋ねている。91%が平均対応時間(MTTR)を、89%が平均検知時間(MTTD)を追跡している。いずれも対応指標であり、何かが起きてしまった後にどれだけ速く後始末できたかを示すものだ。
予防志向の指標を追跡している組織は12%にすぎない。攻撃前の阻害(disruption)を測定している組織は0%だった。
このギャップは重要だ。組織は測定するものに資金を投じ、優先順位を与える傾向がある。ダッシュボード上のKPIが対応スピードに関するものだけであれば、より早い段階の予防に投資する必要性を主張しにくい。
ある金融サービス企業のクラウドエンジニアリング担当VPは端的に言う。「予防のKPIもぜひ持ちたい。どれだけ速く後始末したかではなく、何を防いだのかを語れるKPIだ」
可視性はあるが確信がない
攻撃を予防するうえで何が障害になっているかを尋ねると、回答者の50%が検知ギャップを挙げた。被害が発生するまで、脅威が形成されつつあることが見えていないという意味だ。リソース制約を挙げたのは33%にとどまる。つまり多くの組織にとっての制約要因は、予算や人員ではない。初期段階の可視性である。
脅威データがあっても、フィードが実行可能な文脈を提供していると答えたのは65%にすぎない。さらに言えば、攻撃が動き出す前に行動に移す確信は低い。レポートはこれを「検知の天井(detection ceiling)」と表現する。チームはシグナルを持っているが、手遅れになる前に意味のある対処へつなげる相関付けが欠けているということだ。
企業が本当に求めているもの
調査では、脅威インテリジェンス・プログラムに何を求めているのかも尋ねた。上位5項目は、実行可能な文脈(82%)、形成されつつある脅威をより早期に可視化すること(78%)、ノイズ低減と重複の削減(74%)、自動優先順位付け(68%)、予防志向の指標(65%)だった。
いずれも驚くべき内容ではない。注目すべきは、組織が欲しいと述べるものと、現状の運用体制とのギャップである。予防指標が欲しいと言いながら測っているのは対応スピードだ。ノイズを減らしたいと言いながらフィードを追加し続けている。自動優先順位付けを求めながら、84%が依然として手作業に依存している。
ある金融サービス企業の副CISOは、実務上の変化をこう総括した。「成功とは、事前のブロックとハンティングによって、起こり得たはずの攻撃を実際に発生前に止められることだ」
攻撃前の予防プラットフォームを標榜するMalantaには、このような市場の捉え方を提示する明確な利害がある。だが調査データ自体は独立して成立している。100人規模の調査で、回答者全員が同じ失敗点を指摘し、その失敗点が「シグナルを実際の脅威につなげられないこと」だとするなら、業界が脅威インテリジェンス・プログラムを構築してきた方法には、構造的な歪みがある。
フィードを増やしても解決しなかった。より良い指標と、より早い段階での可視性が必要なのかもしれない。
