欧州 CERT-EU サイバー脅威インテリジェンスフレームワーク (2026.02.13)
こんにちは、丸山満彦です。
CERT-EUがサイバー脅威インテリジェンスフレームワークを公表していますね...
これは、EU全体で脅威インテリジェンスの共通基盤を確立するためのものということですかね...各機関でバラバラに評価していると共通運用できませんからね...
ということで標準化ですね...
分析・優先順位づけ、意思決定の標準化という感じでしょうかね...
まずは、
1. 関係者(Ecosystem)の登場人物 (Component) 標準化
| 生態系構成要素 | 定義と例 |
| 国 | EU加盟国およびEU域外で実体を有するEU加盟団体の事業展開国。各加盟団体は1つ以上の国に所在する。これらの国々を標的とすることで、現地インフラやサービス侵害を通じた構成員への影響、および地理的焦点を置いたあらゆるキャンペーンが影響を及ぼし得る。 |
| セクター | 連合エンティティが活動するセクター。これらは関心のあるセクターの章に記載されている。連合エンティティは1つ以上のセクターに属することがある。セクターを標的にすると、共有依存関係や攻撃対象領域を通じて構成要素が晒される可能性がある。 |
| イベント | 連合体機関が関与し、悪意のあるサイバー活動を誘発または標的とする可能性のある地政学的性質の事象。例としては、会議、サミット、紛争、国際交渉、衝突、選挙などが挙げられる。連合体機関の関与の性質とレベルは様々である。例えば、機関が会議やサミットを主催または参加する場合もあれば、紛争当事者を支援または制裁する場合もある。その結果、事象に関連する悪意のあるサイバー活動は、構成員を直接的または間接的に標的とする可能性がある。 |
| パートナー | 連合機関が協力または情報交換を行う組織。各連合機関は、EU加盟国または第三国において複数のパートナーを有し得る。これらのパートナーは、連合機関の恒常的な利害関係者である場合もあれば、臨時の取り組みやプロジェクトにおいて協力する場合もある。例としては、他の連合機関、EU加盟国の省庁・機関、国際機関(例:NATOやICC)、非営利組織などが挙げられる。対象となるパートナーは、信頼できる経路、共同プロジェクト、情報交換を通じて構成員に影響を与え得る。 |
| プロバイダー | 連合体機関にサービスを提供する情報技術(IT)企業。これにはクラウドサービスプロバイダー(CSP)、マネージドサービスプロバイダー(MSP)、インターネットサービスプロバイダー(ISP)などが含まれるが、これらに限定されない。プロバイダーの侵害は、サービス中断、データ機密性の侵害、またはシステムへの悪意あるアクセスを通じて構成員に影響を及ぼす可能性がある。 |
| ソフトウェア | 連合体組織が使用するソフトウェア製品。これにはオペレーティングシステム、ブラウザ、エッジデバイス、セキュリティソフトウェア、業務ソフトウェア、AIソフトウェアなどが含まれるが、これらに限定されない。ソフトウェア製品はインターネットに接続されている場合とそうでない場合がある。構成員が使用するソフトウェアを標的とすることは、脆弱性の悪用による初期アクセス、トロイの木馬化されたソフトウェアによる感染、正当なソフトウェアを介した情報漏洩やフィッシングなど、様々な形で影響を与える可能性がある。 |
| システム | 組織または組織群が共同目的や共有目的を支援し、専属的に利用するために構築した技術とソフトウェアで構成される情報システム。例としては、EU機関の公開ウェブサイトや、EU LoginやEU Surveyなどの専用サービスが挙げられる。共有システムや重要システムを標的とした攻撃は、サービスの継続性、データの完全性、ユーザーの信頼に直接影響を及ぼす可能性がある。 |
2. 脅威・脅威対抗のカテゴリー...
| カテゴリー | 定義 |
| 政策と法執行 | (非敵対的文脈において。) 悪意のあるサイバー活動に対処することを目的とした取り組み。これには政策、規制、協力、逮捕、差し押さえ、削除、禁止などが含まれる。 |
| サイバー諜報活動と事前配置 | 脅威アクターは、情報収集目的で機密情報を窃取したり、将来的な悪用を目的として情報システムを密かに侵害したりする。 |
| サイバー犯罪 | 脅威アクターは金銭的利益を得るためにシステムを侵害する。これにはランサムウェア攻撃、アクセス権を販売するためにITシステムを侵害する行為、またはマルウェアを展開して認証情報を窃取し転売する行為が含まれる。 |
| ハクティビズム | 脅威アクターは、イデオロギー的または政治的な目的を推進するためにシステムを標的とする。これには、政治的またはイデオロギー的な大義に注目を集めるために実行されるDDoS攻撃、改ざん、ハッキングと情報漏洩作戦などの特定のウェブサイト攻撃が含まれる。 |
| 日和見主義 | 標的を定めない悪意のある活動で、実環境における脆弱なシステムを特定し悪用することを目的とする。これには、パッチ未適用のルーターを介したワームの世界的な拡散や、公開されている資産の脆弱性に対するスキャンおよび自動化された悪用試行が含まれる。 |
| デジタル外国干渉 | 脅威アクターの目的は、不正なサイバー手段を通じて世論に影響を与えたり、不和を煽ったりすることである。これには、選挙期間中に偽情報拡散を行う偽アカウント、一般市民を誤導するために選択的に改変された文書を漏洩させる行為、あるいはソーシャルメディア上で分断を助長するコンテンツを増幅させるボットなどが含まれる。 |
| 破壊と破壊 | 脅威アクターの目的は、被害者の情報システムの運用を妨害し、システムを破壊するかデータを破壊することである。これにはワイパー型マルウェア攻撃や重要インフラへのDDoS攻撃が含まれる。 |
| データ漏洩と流出 | 当該活動は情報の暴露または漏洩を招き、それによって評判の毀損を引き起こすか、さらなるサイバー攻撃を助長する。これには脅威主体によるハッキングと情報流出作戦、あるいは内部関係者による意図的な暴露や漏洩が含まれる。データの暴露や漏洩は偶発的に発生することもある。 |
| 不明 | この活動の目的は不明である。 |
3. 脅威ドメイン(サイバー活動の影響を受ける地理的または組織的範囲を分類するための階層モデル)
| ドメイン | 定義 |
| 組合組織 | 当該活動は、規則2023/2841で特定された一つ以上の組織を対象とした。 |
| EU | 当該活動は、1つ以上のEU加盟国における対象機関を対象としており、これには各国政府、インフラ、または民間企業が含まれる。 |
| ヨーロッパ | この活動は、EU域外の1つ以上の欧州諸国における対象機関を標的とした。これには、一部のNATO加盟国、EFTA加盟国、EU加盟候補国および潜在的な加盟候補国が含まれる。 |
| EU文民ミッション地域 | 当該活動は、欧州域外においてEU文民ミッションを展開している1つ以上の国を対象とした。 |
| 世界 | この活動は、上記の領域に該当しないあらゆる国を対象とした。 |
4. 脅威レベル(EU機関に対する悪意あるサイバー活動の重大性と接近度を評価するために用いる脅威レベル尺度)
| 脅威レベル | 定義 |
| 高 | 連合体に対する差し迫った脅威。検証と対応を遅滞なく実施すること。 |
| 例: | |
| ・連合組織に影響を及ぼす重大なインシデント。 | |
| ・複数の連合組織が導入したインターネット接続システムにおけるゼロデイ脆弱性の実環境での悪用。 | |
| ・少なくとも1つの連合組織または緊密なパートナー組織で検知された国家支援型スピアフィッシング攻撃キャンペーン。 | |
| 中 | EU加盟国機関に対する差し迫った脅威。厳重な監視と点検を強く推奨する。 |
| 例: | |
| ・EU内の重点分野(第重点分野章参照)を対象とした集中的なサイバー諜報活動。 | |
| ・EU機関が使用するソフトウェアの既知の脆弱性を狙った攻撃的悪用。 | |
| ・EU域内の重要インフラを標的とした脅威主体の活動。 | |
| 低 | 連合体組織との直接的な関連性が即座に確認できない、遠隔または間接的な脅威。監視が推奨され、利用可能なリソースと優先度に応じて対応が推奨される。 |
| 例: | |
| ・機会主義的なスキャンまたは列挙活動。 | |
| ・EUを明確な標的としない複数大陸を対象としたグローバルなサイバー諜報活動。 | |
| ・非EU関連インシデントに関連する指標が、機会主義的なマルウェアキャンペーンで再利用される事例。 |
5. 脅威アクターレベル(優先順位づけのために利用する期間、範囲)
| 脅威アクターレベル | 定義 |
| 重大な | 脅威アクターは、対象期間中に少なくとも1件の重大なインシデントを引き起こし、1つ以上の連合体組織に影響を与えた。 |
| 高 | 脅威アクターは、対象期間中に1つ以上の連合体組織に影響を与え、重大インシデントとして認定されていない少なくとも1件のMAIを引き起こした責任を負う。 |
| 中 | 脅威アクターは、対象期間中に生態系の2つ以上の要素に影響を与える少なくとも1件のMAI(重大な影響事象)を引き起こした責任を負う。 |
| 低 | 脅威アクターは、対象期間中に生態系の正確に一つの要素に影響を与える少なくとも一つのMAIを引き起こした責任を負う。 |
6. 戦術、技術、手順(TTP)
MITRE ATT&CKフレームワークを用いるようです...
7. 関心セクター
| 農業 |
| 航空輸送 |
| 化学品 |
| サイバーセキュリティ |
| 防衛 |
| 外交 |
| 教育 |
| エネルギー |
| 環境 |
| 財務 |
| 漁業 |
| 食品 |
| 基本的人権 |
| 健康 |
| 知的財産 |
| 正義 |
| 労働 |
| 法執行 |
| 海上輸送 |
| 議会運営 |
| 医薬品 |
| 公共行政 |
| 鉄道輸送 |
| 研究 |
| スペース |
| 技術 |
| 電気通信 |
| 輸送 |
8. 確信と不確実性
| 頼性 | A(完全に信頼できる) | B(通常は信頼できる) | C(かなり信頼できる) | D(通常は信頼できない) | E (信頼性なし) | F(信頼性を判断できない) |
| 1 (他の情報源により確認済み) | はい | はい | いいえ | いいえ | いいえ | いいえ |
| 2 (おそらく正しい) | はい | はい | いいえ | いいえ | いいえ | いいえ |
| 3 (おそらく正しい) | いいえ | いいえ | いいえ | いいえ | いいえ | いいえ |
| 4 (疑わしい) | いいえ | いいえ | いいえ | いいえ | いいえ | いいえ |
| 5 (ありそうもない) | いいえ | いいえ | いいえ | いいえ | いいえ | いいえ |
| 6 (判断不能) | いいえ | いいえ | いいえ | いいえ | いいえ | いいえ |
- 評価における確信度レベル(LCA)は、分析的判断に対する確信度(例:確信度が低い、確信度が中程度、確信度が高い)を表す。これらは、裏付けとなる証拠の質と量、および分析的推論の強さを反映している。
- 推定確率を表す言葉(WEP)は、将来の出来事の可能性や現在の評価の正確性を、調整された言葉(例:可能性が低い、可能性が高い、非常に可能性が高い、ほぼ確実)を用いて伝えます。これらは、確率を過大評価したり過小評価したりすることなく、受け手が私たちの評価を理解するのを助けます。
そう言えば、U.S. やCanadaでは、
ICD 203 - Analytic Standards
https://www.dni.gov/files/documents/ICD/ICD-203.pdf
・1 to 9% Almost no chance
・10 to 24% Very unlikely/Very Improbable
・25 to 39% Unlikely/Improbable
・40 to 59% Roughly even chance
・60 to 74% Likely/probably
・75 to 89% Very likely/very probable
・90 to 100% Almost certainly
カナダの場合
https://www.cyber.gc.ca/en/guidance/cyber-threat-canadas-water-systems-assessment-mitigation
・0~9% ほとんど変化なし
・10~29% 非常に低い/ほとんどありえない
・30~39% 可能性が低い/ありえない
・40~59% ほぼ同じ確率
・60~69% 可能性が高い/あり得る
・70~89% 非常に高い/可能性が高い
・90~100% ほぼ確実である
9. 帰属
技術的帰属のみを、臨機応変な対応として、かつ厳格な条件下でのみ実施することを明確にしておく必要がある。当社は政治的帰属には一切関与しない。
- 政治的帰属とは、悪意のあるサイバー作戦について国家または組織に責任を帰属させることを指す。これは我々の管轄外であり、国家または機関の意思決定者の責任である。
- 技術的帰属とは、行動パターン、インフラの再利用、マルウェアの指標、標的プロファイルに基づいて、悪意のある活動を既知の脅威アクターに結びつけることを指す。
技術的帰属原則
- 厳密に技術的な観点から: 私たちは活動の状態や組織への帰属を特定しません。技術的指標と行動の一貫性に基づき脅威アクターを特定することに焦点を当てています。
- 必要な場合: フルスペクトラム敵対者アプローチを強化するために必要な場合に限り、技術的帰属の特定を追求します。
- 証拠に基づく:帰属は、TTP(戦術、技術、手順)、インフラの重複、マルウェアの痕跡、標的選定といった観察可能な特性に基づいて行われる。
- 確信に基づくアプローチ: 十分な証拠によって裏付けられた場合にのみ活動を帰属させ、確信の度合いを明示します。信頼性があると判断された場合には、オープンソースまたはパートナーの分析を参照します。
- 文脈依存: 帰属は定義された期間と範囲において有効であり、新たな情報が出現した際に更新される可能性がある。
10. 得点(脅威の優先順位付けと防御策の優先順位付けを行うためのスコリング)
・脅威スコアモデルは、以下の5つの要素に基づいています:
- 発生
- ターゲティング
- 深刻度
- 期間
- 時間の経過に伴う劣化。
● CERT-EU
発表
・2026.02.13 Introducing the CERT-EU Cyber Threat Intelligence Framework
| Introducing the CERT-EU Cyber Threat Intelligence Framework | CERT-EUサイバー脅威インテリジェンスフレームワークの紹介 |
| Cyber threat intelligence is only as useful as the foundations it is built upon. Without a shared vocabulary, consistent methods, and clear priorities, even the best analysis risks being misunderstood, misapplied, or lost in translation between the teams that produce it and the people who need to act on it. | サイバー脅威インテリジェンスの有用性は、その基盤となる要素に依存する。共通の用語体系、一貫した手法、明確な優先順位がなければ、優れた分析でさえも、それを生み出すチームと行動を必要とする人々の間で誤解され、誤用され、あるいは伝達過程で失われるリスクがある。 |
| Today we are publishing our Cyber Threat Intelligence Framework — the analytical and operational backbone of how CERT-EU classifies, assesses, and prioritises malicious cyber activity relevant to Union entities, our constituents, and their wider ecosystem. | 本日、我々は「サイバー脅威インテリジェンス・フレームワーク」を公開する。これはCERT-EUが、EU機関、構成員、およびその広範なエコシステムに関連する悪意あるサイバー活動を分類、評価、優先順位付けする分析・運用の中核となる枠組みである。 |
| Why a framework — and why now? | なぜフレームワークが必要なのか?なぜ今なのか? |
| Union entities operate in an increasingly complex threat environment. They span multiple countries, sectors, and partnerships. They rely on shared systems, common software, and interconnected supply chains. A threat to one can quickly become a threat to many. | EU機関はますます複雑化する脅威環境で活動している。複数の国、分野、パートナーシップにまたがり、共有システム、共通ソフトウェア、相互接続されたサプライチェーンに依存している。一機関への脅威は瞬時に多数への脅威となり得る。 |
| Over the years, we have refined our internal methods to keep pace with this reality. The framework formalises that work into a single, transparent reference document. It is designed to serve two audiences: our analysts who produce threat intelligence, and the security officers, primary operational contacts, and decision-makers across Union entities who receive it and act on it. | 我々は長年にわたり、この現実に対応するため内部手法を洗練させてきた。本フレームワークは、その取り組みを単一の透明性ある参照文書として体系化したものである。対象は二者である:脅威インテリジェンスを生成する分析官と、それを受け取り対応する加盟機関全体のセキュリティ担当者、主要な運用担当者、意思決定者である。 |
| What is in the framework? | フレームワークの内容 |
| The framework introduces the core concepts and scales that structure our CTI products: | 本フレームワークは、CTI製品の構造を定める中核概念と尺度を導入する: |
| Malicious activities of interest (MAIs) — how we define what we track and why. | 関心対象の悪意ある活動(MAI)——追跡対象とその理由の定義方法 |
| Ecosystem — the components (countries, sectors, events, partners, providers, software, and systems) that determine whether a threat is relevant to our constituents, even when they are not directly targeted. | エコシステム — 脅威が直接標的とされなくとも、構成員にとって関連性を持つかを決定する要素(国、セクター、イベント、パートナー、プロバイダー、ソフトウェア、システム)。 |
| Threat and counter-threat categories — classifying activity by adversarial intent, from cyberespionage to hacktivism, cybercrime, and beyond. | 脅威及び対抗脅威の分類 — サイバー諜報活動からハクティビズム、サイバー犯罪など、敵対的意図に基づく活動の分類。 |
| Threat domains — a hierarchical model for scoping the geographical and institutional reach of a threat. | 脅威ドメイン — 脅威の地理的・組織的範囲を定義する階層モデル。 |
| Threat levels and threat actor levels — structured scales for prioritising alerts and adversaries. | 脅威レベルと脅威主体レベル — アラートと敵対者を優先順位付けするための構造化された尺度。 |
| Confidence and uncertainties — how we assess information quality using the NATO Admiralty Code and communicate analytical uncertainty using FIRST-standard language. | 信頼性と不確実性 — NATO海軍暗号を用いて情報品質を評価し、FIRST標準言語で分析的不確実性を伝達する方法。 |
| Attribution — the principles that govern our strictly technical, evidence-based approach to linking activity to threat actors. | 帰属 — 活動と脅威主体を結びつける、厳密に技術的かつ証拠に基づく我々のアプローチを規定する原則。 |
| Scoring — how we calculate threat and mitigation scores to support prioritised defence planning. | スコアリング——脅威と対策のスコアを算出し、優先順位付けされた防衛計画を支援する方法。 |
| The framework is also a key enabler for our Full-Spectrum Adversary Approach, our own flavour of threat-informed defence, which relies on consistent modelling of threats across both strategic and technical dimensions. | このフレームワークは、戦略的・技術的両次元で脅威を一貫してモデル化する、我々の独自版脅威情報に基づく防衛戦略「フルスペクトラム敵対者アプローチ」の重要な基盤でもある。 |
| Built on recognised standards | 確立された基準に基づく |
| The framework does not reinvent the wheel. It aligns with EU cybersecurity regulations, MITRE ATT&CK, NATO intelligence standards, and FIRST good practices for CTI reporting. Where we have developed our own methods — such as the ecosystem model or the scoring formulae — we have documented the reasoning transparently. | 本フレームワークは既存の枠組みを再発明するものではない。EUサイバーセキュリティ規制、MITRE ATT&CK、NATO情報基準、CTI報告に関するFIRST優良事例と整合する。生態系モデルやスコアリング式など独自手法を開発した場合は、その根拠を透明性をもって文書化している。 |
| A living document | 生き続ける文書 |
| The framework reflects our current practices, but it is not set in stone. We expect it to evolve as the threat landscape changes, as regulations develop, and as we learn from our constituents and partners. | このフレームワークは現在の実践を反映しているが、固定されたものではない。脅威環境の変化、規制の発展、そして構成員やパートナーからの学びに応じて進化していくことを想定している。 |
| We welcome your feedback. If you have questions, suggestions, or observations, please reach out to us at mail. | フィードバックを歓迎する。質問、提案、意見があれば、mail まで連絡してほしい。 |
・Cyber Threat Intelligence Framework
| Cyber Threat Intelligence Framework | サイバー脅威インテリジェンスフレームワーク |
| Table of contents | 目次 |
| 1. Introduction | 1. はじめに |
| 2. Malicious activities of interest | 2. 対象となる悪意ある活動 |
| 3. Ecosystem | 3. エコシステム |
| 4. Threat and counter-threat categories | 4. 脅威と対抗脅威の分類 |
| 5. Threat domains | 5. 脅威ドメイン |
| 6. Threat levels | 6. 脅威レベル |
| 7. Threat actor levels | 7. 脅威アクターレベル |
| 8. Tactics, techniques and procedures (TTPs) | 8. 戦術・技術・手順(TTPs) |
| 9. Sectors of interest | 9. 対象セクター |
| 10. Confidence and uncertainties | 10. 信頼度と不確実性 |
| 11. Attribution | 11. 帰属 |
| 12. Scoring | 12. スコアリング |
« デジタル庁 DS-512 行政手続等での本人確認におけるデジタルアイデンティティの取扱に関するガイドライン 解説書 (2026.03.05) | Main | 米国 トランプ大統領のアメリカのためのサイバー戦略 (2026.03.06) »
Comments