セキュリティ
CTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)に関する説明として、最も適切なものはどれか。
ア.CTIはソフトウェアテストのカバレッジ指標で、全テストケースのうち脅威を検出したケースの割合を示す数値である。
イ.CTIはCTスキャンをIT分野に応用した医療画像解析技術であり、ハードウェア障害の予測診断に使われる。
ウ.CTIは攻撃者のTTP(戦術・技術・手順)・IoC(侵害の痕跡)・攻撃キャンペーン情報などを収集・分析して、組織の防御策立案や早期警戒に活用するインテリジェンスである。正解
エ.CTIは組織内のユーザー行動を分析してインサイダー脅威のみを検出する専用ツールであり、外部攻撃者の追跡には使用できない。
解説
CTIは「敵の手口情報を事前に集める諜報活動」。攻撃者がどんなマルウェアを使い、どの組織を狙い、どうやって侵入するかの情報(インテリジェンス)を集めて分析し、「来る前に備える」防衛に使う。MISPやSTIX/TAXIIがCTI共有の標準フォーマット。
なぜ ウ が正解か
ウが正解。CTIはStrategic(経営レベルのリスク情報)・Tactical(TTP・攻撃手法)・Operational(特定キャンペーン詳細)・Technical(マルウェアハッシュ・悪性IPなどのIoC)の4層で分類される。MITRE ATT&CKフレームワークはCTIを構造化する代表的な知識ベース。
出典: AI生成問題(学習用)