サイバー攻撃の高度化に伴い、「従来型の対策ではもはや不十分」という共通理解が広がりました。たとえば、シグネチャに基づくウイルス対策は、検体となるマルウェアを解析し、検知・防御を行うため、未知のマルウェアへの対策は困難です。

 また、近年の攻撃は複雑化しており、固定的な脅威リストに基づいた静的な対応ではなく、脅威の動きにダイナミックに追随する動的対応が必要になっています。こうした変化を踏まえて、Threat Intelligence（スレットインテリジェンス）と呼ばれる脅威情報の活用が近年注目を集めています。

●Threat Intelligenceとは

 Threat Intelligenceとは、分かりやすくいえば「IPアドレスをキーとした脅威情報のデータベース」と表現できます。世界中のネットワークに監視網を張り巡らせ、どのIPアドレスとどのIPアドレスがどういった通信を行っているか、どのIPアドレスがマルウェアを配布しているか、といった多角的な情報を収集し、得られた膨大なデータを分析して、IPアドレスやURL単位で「悪意度」を算出し、脅威のブロックやフィルタリングに活用できる形で提供します。それも、脅威の変化に応じてダイナミックに更新されていくことがポイントです。

 日本ではまだあまり耳慣れない言葉かもしれませんが、米国では、セキュリティインシデント対応専門チームCSIRT（シーサート、Computer Security Incident Response Team）や、システムおよびネットワークを監視するSOC（ソック、Security Operation Center）の運用を支援する要素として、Threat Intelligence市場が広がりはじめています。

 SymantecやMcAfee、Cisco Systems、RSA（EMC）といったセキュリティベンダーが、顧客に導入された自社の膨大な数のセキュリティ製品から集めた、Threat Intelligenceをデータベース化して提供する一方、近年、NORSE、Webroot、xForce、iSight PartnersといったThreat Intelligence専業の新興企業も登場しています。

 こうした新興企業の提供するThreat Intelligenceは、既存のセキュリティベンダーの提供する脅威情報と何が異なるのでしょうか。