脅威インテリジェンスとは、いったいどういう活動か？

ISO/IEC27002の改訂（2022年版の登場）について話をしましたが、そのなかの脅威インテリジェンスについて、もう少し詳細に考えを整理してみます。

情報セキュリティマネジメントシステム、いわゆるISMSの基本は、組織自らが、自分の組織にふりかかるリスクを認識して、どの程度の経営への影響があるかを評価することから始まります。

まさに、情報セキュリティのリスクマネジメントという作業開始は、リスクを正しく認識することです。
この認識という過程は、ちょっと抽象的ですね。
例えば、次のようなことです。

組織の内部、外部のセキュリティ状況を、情報収集し、集約して、自分の組織に及ぶかもしれないリスクとそうでないリスクに仕分けをする。
仕分けをしたら、どのような作業ミスや情報技術の不具合が起こりうるか、
その頻度や業務中断、サービスの停止、業務のやり直しなど、発生するであろう損害を計算してみる。
いわゆる、自分の組織への影響を知る、分析することです。
現行のISMS（ISO/IEC27001:2013）では、リスク分析という作業のなかで、リスクを特定、分析、評価という表現で指示しています。

この中に、サイバーセキュリティという分野での、脅威の特定、分析、評価を加えると、脅威インテリジェンスという概念を半分は実施することになりますね。新しい用語に惑わされなくてもいいのです。

脅威インテリジェンスの考え方では、
・脅威の傾向や攻撃者の種類、それらから推察される情報（Strategic）
・攻撃者の具体的な手法、事象（Tactical）
・脅威の手法や攻撃で使われた技術に関する情報（Operational）
それぞれ、戦略的（Strategic）、戦術的（Tactical）、運用的（Operational） に関する情報を分析します。

例えば、ハッキングの被害や標的型攻撃の被害事例が報告されています。
あなたは、そこから何を学んで、自分の組織への類似の被害が発生する場合のシナリオを考えます。
自分の組織のこれまでのセキュリティ活動のなかで、取り組みが弱かった部分が標的にさらされます。
すると、そのセキュリティ上の弱点が、優先的に対策すべき強化ポイントとなります。この攻撃手法で攻められたら、やられるね、という事です。

残りの半分は、リスクがわかったとしたら、どのような対処が必要かという部分です。リスクマネジメントの後半部分、リスク対応の部分です。
リスク対策には、多くの場合、管理策が適用されるでしょう。
その管理策の部分が、組織が利用するインターネットの環境が拡充してきた、クラウドサービスの利用などの選択肢が増えてきたなかで組み替えられ、ISO/IEC27002:2022　として登場したわけです。

脅威インテリジェンスでは、実際におきているサイバーセキュリティの被害の状況を考慮して、
・対策の種類を予防的なもの（Preventive）、
・探知するもの（Detective）、
・是正するもの（Corrective）、　
に分けて対応するよう促しています。
リスクに対する対策がより具体的になっていることがうかがえます。