止むことがない情報漏洩やランサムウエア被害のニュース。大きなセキュリティ投資を行っていたであろう、誰もが知っている企業でさえも甚大な被害を受けてしまう。我が国の周辺国と日本をめぐる環境も大きく変わった。地政学的リスクは日増しに大きくなっている。自社のセキュリティに不安を感じるのは当然のことだ。受動的だけでなく能動的にリスクを回避するために。今、大きな注目を集めるのが「脅威インテリジェンス」。攻撃者の意図や能力、設備などといった情報を整理、分析することで、脅威の防止や検知に利用できるようにしたものだ。今、日本企業にはいかなる対策が必要か。脅威インテリジェンス専業メーカーの日本支社、レコーデット・フューチャー・ジャパンの遠山氏と松田氏に話を伺った。

厳しい環境下に置かれた日本企業へ
幅広く質の高い情報を提供

米国マサチューセッツ州ボストンに本社を構えるRecorded Futureは、脅威インテリジェンスの専業メーカーとして2009年に設立。以降、国内外1900社以上に脅威インテリジェンスを提供しているリーディングカンパニーだ。日本法人であるレコーデッド・フューチャー・ジャパンは、2018年10月に設立されている。

「ここ十数年で爆発的に情報が増えている中で、クラウドやAIを活用してお客様に受け取ってすぐにアクション可能な情報を精査した形で提供できていることが、我々と他社との大きな違いだと思います」と話すレコーデッド・フューチャー・ジャパン 執行役社長／カントリーマネージャーの遠山央敬氏は、さらに話を続ける。

「脅威インテリジェンスはセキュリティベンダーから検知や防御のための製品とともに提供される形態でご利用されている組織が多い状況です。しかし、これらの製品やサービスは自組織内をどう守るか？ にフォーカスしています。現在の脅威はランサムウエアのような国家支援型ではないような攻撃者であっても、検知や防御のしくみを突破して内部に侵入してきます。侵入に当たっては、漏洩した正規のアカウントを悪用したり、外接しているVPN機器の脆弱性を攻撃して直接侵入するなど、内部を守る仕組みだけでは、最新の脅威の対応には不十分な状況です」

日本企業は今、非常に厳しいセキュリティ環境にあると言わざるを得ない。今後どのように脅威インテリジェンスを活用していく必要があるのか。

「2025年を振り返ると、Eコマースの会社や証券会社のセキュリティ被害が大きなニュースになっていました。情報窃取型マルウエアである『インフォスティーラー』への感染を避ける対策や、外から攻撃者の視点で脆弱性やリスクを特定させるアタックサーフェスマネジメントなど、ID漏洩やIT資産の見えていない部分を可視化することでプロアクティブに対処することが基本的な手段です。最近発生したランサムウエアの事件でも、ID漏洩に気づいていなかったことが被害の要因でした。これら社外にあるリスク要素を可視化して対処するために脅威インテリジェンスを利用することは非常に重要です」(遠山氏)

遠山氏は、経営者自身も変わる必要があると説く。「2025年に金融庁のガイドラインが改訂され、経営層が自社のリスクを十分に理解して対策する必要が出てきました。我々がよく日本のお客様からお聞きする課題は、経営層がいかに自分ごととしてセキュリティを捉えられるよう説得するか、というもの。海外では専任の脅威インテリジェンスチームを持つことが一般的になってきましたが、日本ではそこまで至っている企業はまだそれほど多くありません。今後は、経営層も自分ごととして考えられる分析や組織作りが重要です」

さらに、レコーデッド・フューチャー・ジャパン プリンシパル・セールス・エンジニアの松田知行氏は、脅威インテリジェンスの重要性を補足する。

「ランサムウエア対策で重要なのは、社外から自社がどのように見えるか、攻撃に使える情報が外に漏洩していないかどうか、知ることです。そのために、自社に関わるリスクに関する情報をニュースからだけでなくより早く、能動的に対応するための情報が必要だ、というお客様が増えています」

膨大なデータから必要な情報だけを抽出
自然言語でスキルに関係なく分析を可能に

Recorded Futureでは、「脅威インテリジェンスにおけるAIと自動化の現状」というレポートを発行しており、日本語版もダウンロードできる。

「このレポートは、世界中の約700社のセキュリティ担当者に第三者機関が調査を行い作成したものです。内容は主に、生成AIがワークフローにどのように入ってきているか、また生成AIが脅威インテリジェンスをどのように扱っていくかについてです」(松田氏)

脅威インテリジェンスのユースケースはさまざまだ。セキュリティの監視、分析、予防、脆弱性パッチの優先順位づけなど、顧客のセキュリティ課題が多岐に渡ることがレポートからもみて取れる。

同社は脅威インテリジェンスを提供するツールとして、「Recorded Future Intelligence Platform」を提供している。

「従来は専門家が書いたレポートをインテリジェンスサービスとして提供するタイプのビジネスがありましたが、我々はそれに加えてインターネットそのものをセンサーとしてセキュリティの観点で攻撃の主体やその手法、どんな地域や業種などをターゲットにしているか、どんな脆弱性を使っているかなど、関連情報もほぼリアルタイムに整理・分析した形でいつでも取り出せるようにAIが常に収集・分析・整理をしています。これにより、知りたいことがあればまずRecorded Futureを見よう、という形で使っていただけるツールとして、サービスを提供しています」(遠山氏)

断片的な情報だけでは、いかに対策すべきか判断が難しい。しかしここまで情報の鮮度とカバレッジがあれば次のアクションに向けた根拠になりうる。「根拠」をもとに、すぐに対処に繋げられるように整理された情報が「インテリジェンス」であり、「Recorded Future」が提供しているのはアクションにすぐに繋げられる質の高いインテリジェンスである。

「インターネット上の情報にはベンダーが出すパッチの情報、SNSなどを通して攻撃者間でやりとりされる技術情報など様々なものがあります。ロシアのハッカー、中国のハッカー、イランのハッカーはもちろん自国語で話します。そこで世界の様々な言語そのままで情報を収集・整理し、断片的なテキスト情報を分析して、関連するものだけを仕分けた巨大な知識のグラフ構造を作る必要があります。虚偽情報も混ざっているので、その吟味も必要です。この分析の根幹になっているのが当社独自の『Intelligence Graph』です」

Intelligence Graphを中心に、同社は創業以来16年間脅威インテリジェンスの知識グラフを蓄積してきた。「担当者が必要な情報を過去からリアルタイムまで即座に情報を取り出すこともできますし、ID/パスワードなどの流出が確認されたら即座にアラートを発する、自社のIT資産に関連する危険な脆弱性や攻撃が確認されたらアラートを発する、などの仕掛けも可能です」

脅威インテリジェンスはソースが多ければよいわけではなく、実際にアクションにつながりうるものでなければならない。「お客様が必要な情報をきちんと分析して、ノイズを排除して提供することが重要です」（遠山氏）

たとえば、ランサムウエア集団の“キリン（Qilin）”を「キリン」という単語だけで検索すると、動物のキリンや飲料メーカーのキリンもヒットする。「Recorded Future」の知識グラフでは、ランサムウエアギャングの“キリン”はこれらと区別されて保存されている。また彼らが使っている攻撃ツールや狙っている脆弱性は何かといった情報はこのランサムウエアギャングの「キリン」とAI技術により自動的に紐付けされている。Intelligence GraphはAIしか触れないわけではなく、ヒトが直接情報をキュレーションしたり、精査をプロセスに組み込んでいる。機械による処理とスピードを利用したうえで、ヒトを適切にプロセスに組み込み、超大規模なデータであってもリアルタイムに扱うことができて、いまも進化し続けている。『セキュリティにおけるインターネットのデジタルツイン』である 『Intelligence Graph』が我々のサービスの基礎となっています」（遠山氏）

「こうした脅威インテリジェンスを適切に使うと、『攻撃されたから対処する』という後手の対応だけでなく、『うちの業界でこの攻撃主体による、このタイプの攻撃が流行っているから、先にパッチをあてておこう』といった、プロアクティブな対応ができるようになります」（遠山氏）

アメリカなどを中心に脅威インテリジェンスの重要度は理解が進み、専任担当者を置く企業も大企業や政府組織などを中心に増えてきているという。「日本でもそうした動きが進むことを当社も期待していますし、働きかけも積極的に行っています」（遠山氏）

さらに最近新しく提供を始めた機能として、『Autonomous Threat Operations』がある。既に導入しているEDRやSIEM、SOAR（Security Orchestration, Automation and Response）などのセキュリティツールと、シームレスに連携できる。

「EDRやSIEM、SOARなどと連携させて、脅威インテリジェンスを直接アクションへとつなげる試みが進められています。新たな脅威の情報をEDRやSIEMに連携して対処できるようにしたり、SOARに連携し次のアクションをキックするといったことはAPIファーストで作られた弊社のシステムでは容易に行うことが今までも可能でした。当社のAutonomous Threat Operationsではこの連携をさらに進めます。『Recorded Future』が新たに認識した脅威を連携済みのEDR、SIEMなどに自律的に働きかけ、Threat Huntや検知・防御をできるようにしようとするフレームワークです。不審なアプリなどを検知したら即座に動作を遮断させるなど、一連の作業を完結させ、よりプロアクティブな対策を、人を介さず実施できることを目指して開発を進めています。まずはレポートや脅威アクターを指定するだけで効率的に脅威ハンティングを数クリックで実施でき、日次・週次で自動実行させる機能からまず提供を始めました」(遠山氏)

加えて同社は「Recorded Future」のヒューマンインターフェイス部分に生成AIを組み合わせて、より簡単に利用するための仕組みとして「Recorded Future AI」を提供している。

なぜ、脅威インテリジェンスに生成AIを活用すべきなのか。遠山氏は説明する。

「当社が提供するのは整理された脅威インテリジェンスとはいえ、背景情報なども含めればおのずと、それ自体のボリュームが多くあります。生成AIはそれらの要点をまとめて、まずは概要を把握するために使えます。判断の方向性を大きな括りで先に掴むことで、その後の作業や脅威インテリジェンスの深掘りなどを大幅に効率化できます」

脅威インテリジェンスの活用は
今や決してハードルが高くない

Recorded Future AIには具体的に、どのような機能が搭載されているのか。特徴的なものの1つが、AIレポート作成機能だ。2024年にリリースされ、2025年11月には日本語サポートも開始している。

「自社や業界他社、また全く違うところでも大きなニュースになるインシデントが起こった際に『うちはどうなのか、何をする必要があるのか』などを経営陣に伝える場面が生じます。Recorded Future AIを使えば品質の高いレポートを、自動で作成可能です。たとえば製造業に対する過去1カ月の脅威概況をエグゼクティブ向けにまとめ、推奨する対処方法などを提示できます。必要であれば日次でも週次でも継続的にレポートをAIに書かせて配布させることも可能です」（遠山氏）

また、松田氏は「『Recorded Future AI』では自然言語が使えるので、専門のアナリストでなくても必要な情報を得て、分析することができます」と補足する。生成AIというインタフェースを通すことによって、役割、役職に合わせた脅威インテリジェンスをまるで高度な知見を持ったアナリストが作成したかのような文章で簡単に得ることができるのだ。

「多くの情報を扱ったり、整理したりするためのAI技術は、当社のDNAと言ってもよいものです」（松田氏）。アナリストが分析したレポートをただ出すのではない。大量かつ質の高いデータから、企業がアクションを起こすための土台となるようにレポートを整理して提示できることが同社の強みといえる。

脅威インテリジェンスは、外部の状況や情報を得るために使われてきた。「顧客社内の環境に関する情報も併せて活用することで、より高いセキュリティを得られます。Recorded Future AIは、社内環境をお客様専用テナントに反映させることができます。お客様が使っている製品のリストはもちろん、EDRやSIEMのアラートなどを反映させ、脅威がお客様の環境にいかなる影響があるか分かるようにできます」（遠山氏）

脅威インテリジェンスの活用はハードルが高いと思われてきた。「しかしある日本のお客様は、脅威インテリジェンスはセキュリティ対策のデータドリブン化に必要だったと評価してくれました」（遠山氏）。セキュリティ関連部署には、人材不足やスキルの偏りといった課題が頻発し、業務効率化やスキルの平準化が求められる。そこで重要となるのは、リスクベースの対応とデータドリブン化だ。

「組織がサイロ化され、複数のSOCやCSIRT（Computer Security Incident Response Team）が存在していたそのお客様は、Recorded Futureを使うことで、担当者全員が分析されたデータソースやリスク情報を同じように扱え、オペレーションできるようになりました。脅威インテリジェンスを組織的に採り入れスキルの引き上げに成功し、大きな効果を得た一例ですね」（遠山氏）

誰でも短時間で簡単に必要な
脅威レポートを生成できる時代に

生成AIが進化すれば、脅威も進化する。「Recorded Future」は今後、どのように進化していくか。

「我々も今後は自律的な防御を考えていく必要があります。『RSAカンファレンス2025』でも、Autonomous（自律化）がキーワードでした。『Recorded Future』の脅威インテリジェンスをトリガーにして、連携したSIEMやEDRでの脅威ハンティングや、ファイアウォールやプロキシーの検知・拒否リストの更新を我々のAIエージェントが自律的に行うシステムを提供することを目指しています」と松田氏は説明する。

遠山氏も将来像について話してくれた。「CISO（Chief Information Security Officer）のアシスタントを行うことも考えています。たとえば『うちは大丈夫なのか？』とセキュリティチームに聞かなくても、Recorded Futureを見れば自社のリスクを把握できるようなワンストップツールとして活用されるようになりたいと思います」

最後に遠山氏から、日本企業にエールを送ってもらった。

「数年前までは脅威インテリジェンスについて紹介すると、まだうちには早いとか、人材がいないと言われることが多かった。しかしセキュリティ対策における脅威インテリジェンスの活用は徐々に当たり前の世界となってきています。脅威インテリジェンスは、データをきちんと運用して自動化していく土台となるもの。対策の効率化・平準化には不可欠です。レポート作成にも生成AIを活用でき、かつ日本語の自然言語で扱えるようになって、かなり裾野が広がってきました。ここ1～2年で脅威インテリジェンスの活用はもっと当たり前になると思います。誰でも短時間で簡単に必要な脅威レポートをAIで生成できる時代です。ぜひ第一歩を踏み出していただければと思います」