サイバーセキュリティの世界では、攻撃側が絶対的に有利である。技量が同じレベルであっても、防御側は365日/24時間、あらゆるものを護らなくてはいけないのに、攻撃側は自由にいつどこを攻撃するかを決められるからだ。
そこで重要になってくるのが「脅威インテリジェンス」、要するに攻撃側の情報をあらかじめ知っておくことで、防御のやり方を効率化できるというものだ。実際の戦争においても、名将と呼ばれる人たちは次の順番で作戦行動を決めていく(*1)。
1)求められている任務は何か?
2)周辺状況はどうなっているか?
3)敵の可能行動はどうか?
4)こちらの可能行動は何通りあるか?
5)彼我の可能行動の組み合わせのシミュレーション
6)どの組み合わせが良いかの判断基準
7)こちらの作戦行動の決定
この時判断材料となるのが、種々の脅威インテリジェンスである。
ただ、軍事教育も受けていない企業人にとっては、その具体的なイメージが湧かない。セキュリティ対策に脅威インテリジェンスが重要だと(セミナー等で)吹き込まれて、コンサル会社やベンダー企業に電話してみると、弁舌さわやかな営業マンがやってくる。
「世の中にあまたある脅威は、すべてが御社のリスクになるわけではありません」
と前置きして、
・御社の外部に、どのような悪意を持った者(Wild)がいるか?
・御社の中に、どのような狙われやすい環境(Environment)があるか?
・御社に近い企業等(Like You)で、どんな被害事例があったか?
の3つの条件を重ねてみて、全部に合致するところこそ、御社のリスク。「その検討過程において、弊社がリアルタイムにお届けする脅威インテリジェンスをお役に立ちます」という。
「弊社のインテリ情報は、技術の変遷・広範なOSINT・DarkWebサーチ・経験深いリサーチにより、日々更新されています」
と売り込んでくる。この時マクロ感覚でいいので「どんな脅威インテリジェンスが役立つのか?」を知っていないと、不要な物を買ってしまいかねない。
<続く>