メインコンテンツへ
セキュリティセキュリティ実践

CTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)に関する説明として、最も適切なものはどれか。

ア.CTIはソフトウェアテストのカバレッジ指標で、全テストケースのうち脅威を検出したケースの割合を示す数値である。
イ.CTIはCTスキャンをIT分野に応用した医療画像解析技術であり、ハードウェア障害の予測診断に使われる。
ウ.CTIは攻撃者のTTP(戦術・技術・手順)・IoC(侵害の痕跡)・攻撃キャンペーン情報などを収集・分析して、組織の防御策立案や早期警戒に活用するインテリジェンスである。正解
エ.CTIは組織内のユーザー行動を分析してインサイダー脅威のみを検出する専用ツールであり、外部攻撃者の追跡には使用できない。

解説

CTIは「敵の手口情報を事前に集める諜報活動」。攻撃者がどんなマルウェアを使い、どの組織を狙い、どうやって侵入するかの情報(インテリジェンス)を集めて分析し、「来る前に備える」防衛に使う。MISPやSTIX/TAXIIがCTI共有の標準フォーマット。

なぜ ウ が正解か

ウが正解。CTIはStrategic(経営レベルのリスク情報)・Tactical(TTP・攻撃手法)・Operational(特定キャンペーン詳細)・Technical(マルウェアハッシュ・悪性IPなどのIoC)の4層で分類される。MITRE ATT&CKフレームワークはCTIを構造化する代表的な知識ベース。

なぜ イ は間違いか

CTスキャンはComputed Tomography(コンピュータ断層撮影)。サイバーセキュリティとは無関係。

なぜ ア は間違いか

テストカバレッジはコードや仕様の何%がテストされたかを測る指標。CTIとは別概念。

なぜ エ は間違いか

CTIは外部脅威アクター(国家支援型・犯罪グループ等)の追跡・分析が主要用途。インサイダー脅威専用ではない。

出典: AI生成問題(学習用)