サイバー攻撃を仕掛けてくるのはコンピュータではなく人間です。常に、こちらが講じた防御策を見越して新たな手を打ってくるため、静的な情報に基づいた対応だけでは、脅威を見つけ出すことはできません。

 例えば標的型攻撃では、ターゲットとする組織や企業ごとに、感染させるマルウェアを変えたり、そのマルウェアのコントロールに用いるC＆Cサーバの場所を数時間ごとに変えることは珍しくありません。また、C＆Cサーバは常に稼働し続けるわけではなく、一定時間だけ動作して停止する場合もあります。あるC＆Cサーバが、はたしてマルウェアに指令を下しているのか、それとも内部情報を収集しているのか、その挙動を把握するだけでも容易ではありません。

 これを補う解決策の一つが、インターネット上に設置したセンサーやハニーポットを通じて、攻撃に用いられるC＆Cサーバやマルウェアの情報を収集する、脅威情報に特化したデータベースである「スレットインテリジェンス（Threat Intelligence）」です。

 昨今、スレットインテリジェンスは、さまざまなセキュリティ企業やコンサルティング企業が提供を始めていますが、ポイントは、どれだけ「広く」かつ「深い」情報を収集できるかにあります。

 スレットインテリジェンスの中には、クローラーを用いて機械的に広く情報を収集するだけでなく、深く過去にさかのぼって特定のIPアドレスやURLがどんな用途に使われたかを蓄積したり、人が介在し、時には攻撃者の懐に入り込んでブラックマーケットやチャットルームの情報を収集したりする、「機械の力」と「人間の能力」を組み合わせたサービスも存在します。

 スレットインテリジェンスを手元のSIEMの情報と照合することによって、「今、自社でアラートが上がっているこの攻撃に用いられているマルウェアは、過去、どんな攻撃に使われたのか」「他の攻撃で用いられているIPアドレスやURLとの関連性はあるのか」といった事柄が明らかになり、インシデントの全体像を「可視化」することができます。