2026-02-13

外部の脅威情報を自社のIT資産と自動で照合し対策の優先順位付けを迅速化する方法

セキュリティに関する脅威情報は、日々大量に公開されています。JPCERT/CCやIPA、各ベンダーからの注意喚起、CVE（共通脆弱性識別子）の新規公開など、情報ソースは増える一方です。しかし多くの企業では、これらの情報を受け取っても自社のシステムにどれが該当するのかを手作業で突き合わせており、対策の着手が数日から数週間遅れるケースが珍しくありません。

この記事は、従業員100〜1,000名規模の企業で、情報システム部門やセキュリティ担当を兼務している方を想定しています。専任のSOC（セキュリティ監視チーム）を持たず、少人数で脅威情報の収集から対策実施までをカバーしなければならない現場に向けた内容です。読み終えると、外部の脅威情報を自社のIT資産台帳・脆弱性スキャン結果と自動で突き合わせ、対応すべきものだけを優先度付きのタスクとして管理するワークフローを構築できるようになります。大規模エンタープライズ向けのSIEM統合設計や、個別セキュリティ製品の網羅的なレビューは扱いません。

なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。

読み終えた時点で、脅威情報の受信から対策タスク起票までを半自動化する3ステップのワークフローと、各ステップで使うツールの設定方針が手元に揃います。

Workflow at a glance: 外部の脅威情報を自社のIT資産と自動で照合し対策の優先順位付けを迅速化する方法

Step 1: 自社のIT資産と脆弱性情報を一元化する (LANSCOPE エンドポイントマネージャークラウド版) (IT資産管理ツール)
Step 2: 脅威情報と資産情報を突き合わせて該当するものを抽出する (Tines)
Step 3: 該当する脅威を対策タスクとして起票し進捗を追跡する (Backlog) (タスク管理・プロジェクト管理)

なぜ外部の脅威情報が自社環境に適用できないまま放置されるのか

情報の入口と資産台帳が別々のシステムに存在する

外部の脅威情報はメール、Webポータル、RSSフィードなど多様な経路で届きます。一方、自社が保有するサーバーやネットワーク機器、ソフトウェアの一覧はIT資産管理ツールに格納されています。さらに脆弱性スキャンの結果は別のダッシュボードに表示されます。この3つが連携していないため、ある脅威情報が自社に該当するかどうかを判断するには、担当者が手動で3つの画面を行き来しながら照合する必要があります。

照合作業が属人化し優先順位が曖昧になる

手作業の照合は、担当者のスキルや経験に大きく依存します。ベテランであれば該当するソフトウェアのバージョンをすぐに思い出せますが、兼務の担当者にはそれが難しく、結果として全件を同じ優先度で扱うか、逆に見落とすかのどちらかになります。優先順位が曖昧なまま対策会議に持ち込まれると、議論が発散し、対応が後手に回ります。

対策の実施状況が追跡できない

仮に照合ができたとしても、パッチ適用や設定変更といった対策タスクがメールやチャットで依頼されるだけでは、完了確認が漏れます。どの脆弱性に対してどの対策が済んでいるのかが一覧できない状態では、同じ脅威情報を何度も確認する無駄が生じ、本当に危険な未対応項目が埋もれてしまいます。

重要な考え方：脅威情報と資産情報の突き合わせを人の記憶ではなくデータの自動マッチングで行う

脅威情報の活用が遅れる根本原因は、照合作業が人の頭の中で行われていることです。この問題を解決するには、外部の脅威情報に含まれるソフトウェア名やCVE番号と、自社の資産台帳に登録されたソフトウェア名・バージョンを、データとして機械的に突き合わせる仕組みを作ることが最も重要です。

完璧な自動化を目指さず照合の初手だけを自動化する

脅威情報の内容は多岐にわたり、すべてを自動で判定することは現実的ではありません。しかし、CVE番号やソフトウェア名による一次照合だけでも自動化すれば、担当者が確認すべき件数を大幅に絞り込めます。1日に数十件届く脅威情報のうち、自社に関係しうるものが3〜5件に絞られるだけで、対応速度は劇的に変わります。

照合結果をタスクとして起票し追跡可能にする

照合の結果、自社に該当すると判定されたものは、即座にタスク管理ツールに起票します。担当者、期限、対象資産、参照元の脅威情報URLをセットで記録することで、対策の実施状況を一覧で追跡できるようになります。これにより、対策漏れの発見と進捗確認が会議なしでも可能になります。

脅威情報の受信から対策タスク起票までを半自動化する

ステップ 1：自社のIT資産と脆弱性情報を一元化する（LANSCOPE エンドポイントマネージャークラウド版）

最初に行うのは、自社が保有するIT資産の情報を正確かつ最新の状態で一元管理することです。LANSCOPE エンドポイントマネージャークラウド版を使い、社内のPC、サーバー、ネットワーク機器にインストールされているOS・ソフトウェアの名称とバージョンを自動収集します。

具体的な作業として、まずエージェントを各端末に配布し、インベントリ情報の自動収集を有効にします。収集対象はOS名、OSバージョン、インストール済みソフトウェア名、ソフトウェアバージョンの4項目が最低限必要です。収集頻度は1日1回を推奨します。これにより、翌日の照合作業で使う資産台帳が常に前日時点の最新状態に保たれます。

収集されたインベントリ情報はCSVでエクスポートできます。このCSVが次のステップで脅威情報との突き合わせに使うデータソースになります。初回はエクスポートしたCSVの列名を確認し、ソフトウェア名の列とバージョンの列がどれかを把握しておいてください。

担当者はIT資産管理の担当者です。初回セットアップに2〜3日、その後は週1回のエクスポート作業（約10分）が定常業務になります。

ステップ 2：脅威情報と資産情報を突き合わせて該当するものを抽出する（Tines）

次に、外部の脅威情報と自社の資産情報を自動で突き合わせます。ここではノーコードのセキュリティ自動化ツールであるTinesを使います。Tinesはセキュリティ運用に特化した自動化プラットフォームで、プログラミング不要でワークフローを構築できます。

Tinesで構築するワークフローは次の流れです。まず、JPCERT/CCやNVD（National Vulnerability Database）のRSSフィードまたはAPIから脅威情報を定期的に取得します。取得頻度は1日2回（午前9時と午後3時など）を推奨します。次に、取得した脅威情報からCVE番号、対象ソフトウェア名、影響を受けるバージョン範囲を抽出します。そして、ステップ1でエクスポートした資産台帳のCSVと突き合わせ、自社に該当するソフトウェアとバージョンが存在するかを判定します。

突き合わせのロジックはシンプルです。脅威情報に含まれるソフトウェア名が資産台帳に存在し、かつバージョンが影響範囲内であれば該当と判定します。完全一致だけでなく部分一致も許容する設定にしておくと、表記ゆれによる見落としを減らせます。

該当と判定された脅威情報には、CVSSスコア（脆弱性の深刻度を0〜10で表す数値）に基づいて優先度を自動付与します。CVSSスコア9.0以上は最優先、7.0以上は高、4.0以上は中、それ未満は低とする4段階が実用的です。

担当者はセキュリティ担当者です。初回のワークフロー構築に3〜5日、その後は週1回の動作確認（約15分）が定常業務になります。

ステップ 3：該当する脅威を対策タスクとして起票し進捗を追跡する（Backlog）

ステップ2で該当と判定された脅威情報を、Backlogにタスクとして自動起票します。TinesからBacklogのAPIを呼び出し、以下の情報をセットしたタスクを作成します。タスクのタイトルにはCVE番号と対象ソフトウェア名を含めます。説明欄には脅威情報の概要、影響を受ける自社資産の一覧、参照元URL、推奨される対策（パッチ適用、設定変更など）を記載します。優先度はステップ2で付与したCVSSベースの4段階をそのまま反映します。担当者は対象資産の管理者を自動でアサインします。期限は優先度に応じて設定します。最優先は起票から2営業日以内、高は5営業日以内、中は10営業日以内、低は次回定期メンテナンス時とするのが目安です。

Backlog上では、起票されたタスクのステータスを未対応・処理中・対応済み・完了の4段階で管理します。セキュリティ担当者は毎週月曜日にBacklogのフィルター機能で未対応かつ期限超過のタスクを一覧表示し、対応が遅れているものをフォローアップします。この週次確認は15〜20分で完了します。

担当者はセキュリティ担当者が起票内容を確認し、各資産管理者が実際の対策を実施します。初回のAPI連携設定に1〜2日、その後は週1回の進捗確認（約20分）が定常業務になります。

この組み合わせが機能する理由

LANSCOPE エンドポイントマネージャークラウド版：照合の土台となる正確な資産台帳を自動で維持できる

脅威情報との突き合わせは、自社の資産情報が正確でなければ意味がありません。LANSCOPE エンドポイントマネージャークラウド版はエージェント方式でインベントリを自動収集するため、手動で台帳を更新する運用に比べて情報の鮮度と正確性が格段に高くなります。日本国内での導入実績が豊富で、日本語のサポートやドキュメントが充実している点も、少人数の情シス部門にとっては大きな利点です。一方、エージェントをインストールできない機器（ネットワーク機器や一部のIoTデバイスなど）は管理対象外となるため、それらは別途手動で台帳に追加する運用が必要です。

Tines：プログラミング不要でセキュリティ特化の自動化ワークフローを構築できる

Tinesはセキュリティ運用の自動化に特化しており、脅威情報フィードの取得、データの抽出・変換、外部APIの呼び出しといった処理をドラッグ＆ドロップで組み立てられます。汎用的な自動化ツール（ZapierやPower Automateなど）でも類似の処理は可能ですが、Tinesはセキュリティ分野のテンプレートが豊富で、CVE番号の抽出やCVSSスコアの取得といった処理が事前に用意されている点が強みです。無料枠（Community Edition）があるため、小規模な運用であれば追加コストなしで始められます。注意点として、突き合わせのロジックはソフトウェア名の表記ゆれに影響を受けるため、初期構築時に自社の資産台帳で使われている名称と脅威情報フィードの名称の対応表を作成しておく必要があります。この対応表の整備に半日〜1日程度かかりますが、一度作れば以降はメンテナンスの頻度は月1回程度です。

Backlog：日本企業の業務フローに馴染むタスク管理で対策の抜け漏れを防げる

対策タスクの管理にBacklogを選定した理由は、日本企業での利用率が高く、既に社内で使われている可能性が高いためです。新たにツールを導入する場合でも、日本語UIと日本語サポートがあるため学習コストが低く抑えられます。APIが整備されておりTinesからの自動起票が容易な点、ステータス管理とフィルター機能で未対応タスクの一覧表示が簡単にできる点も、このワークフローに適しています。トレードオフとして、Backlogはセキュリティ専用ツールではないため、CVSSスコアを専用フィールドとして持っていません。カスタム属性を使って代替しますが、ダッシュボードでの集計にはひと手間かかります。

Recommended tool list

Tool	Role	Pricing	Implementation time	Notes
LANSCOPE エンドポイントマネージャークラウド版	IT資産のインベントリ自動収集と資産台帳の維持	要問い合わせ	2〜3日（エージェント配布と初回収集）	エージェントをインストールできない機器は手動で台帳に追加する運用が必要。収集頻度は1日1回を推奨。
Tines	脅威情報フィードの取得と資産台帳との自動突き合わせ	無料枠あり	3〜5日（ワークフロー構築と表記ゆれ対応表の整備）	Community Editionで小規模運用は無料。ソフトウェア名の表記ゆれ対応表を初期に整備する必要あり。
Backlog	対策タスクの自動起票と進捗追跡	月額課金	1〜2日（API連携設定とカスタム属性の作成）	CVSSスコアはカスタム属性で管理。既に社内でBacklogを利用中であれば既存プロジェクトに統合可能。

結論：脅威情報の照合を自動化し対策タスクとして追跡することで既知の脅威への対応速度を上げる

外部の脅威情報を自社環境に適用できない問題の本質は、情報の照合が人の記憶と手作業に依存していることです。LANSCOPE エンドポイントマネージャークラウド版で資産台帳を自動で最新化し、Tinesで脅威情報との突き合わせを自動化し、Backlogで対策タスクを追跡する。この3ステップにより、脅威情報の受信から対策着手までのリードタイムを大幅に短縮できます。

最初の一歩として、まずLANSCOPE エンドポイントマネージャークラウド版のインベントリ情報をCSVでエクスポートし、直近1週間に公開されたCVE情報と手動で突き合わせてみてください。該当するものが何件あるか、その確認に何分かかるかを計測するだけで、自動化による効果の大きさを実感できます。その結果をもとにTinesの導入判断を行えば、投資対効果の見通しが立てやすくなります。

Mentioned apps: LANSCOPE エンドポイントマネージャークラウド版, Backlog