もちろん、脅威インテリジェンスを導入して成果を挙げている企業は多い。以前、一般企業のIT予算は年商の1~3%だが、金融機関では5%を越えることもあると紹介した。ほぼ「情報産業」といってもいい金融機関にとっては、ITの停止は最大リスクである。当然、サイバーセキュリティについても資源を投入している。
SMBCグループの脅威インテリジェンス運用、「専門チーム」の役割とは |ビジネス+IT (sbbit.jp)
で紹介されているように、大手金融機関では、専門家を含むチームを持ちいろいろなインテリジェンスを駆使して防衛にあたっている。記事の銀行ではないが、個別に聞いた話としては、
・戦術級インテリジェンス
自ら世界の拠点に設置したハニーポットを使って、攻撃者の動きを知りインテリ情報とすることもできる。
・作戦級インテリジェンス
ベンダーから購入もしているが、業界(金融ISAC)での共有情報もある。専門チームを使って分析し、業界に有益なものは戻してもいる。
・戦略級インテリジェンス
入手のハードルは高い(購入するにしても高価)が、経営層にセキュリティ対策の重要性を分かってもらうには有用。事業部門との連携のために使うこともある。
とのことだった。ただ、総じて戦術級に偏る傾向があって、戦略級と称して紹介してもらったものも、どちらかと言えば作戦級ではないかと思えるものが多かった。
これも、日本の企業人で軍事的な教育を受けた人は僅少であることに起因する。企業の戦略文書というものを見ても、よく言って作戦級計画を束ねたもの、ひどいのになると戦術級施策が羅列してあるだけだ。「戦略」という言葉の意味が分かっていないように思う。外資系企業の友人(日本人)とこの話をすると、
「米国企業人でも軍事知識のない者もいる。しかしそれをカバーしているのが、軍務経験のある幹部や準幹部。重要事業部門やIT/セキュリティ部門、法務部門などにいて、適切な判断をしアドバイスをしてくれる」
と言っていた。中には、米国政府の定めたセキュリティ・クリアランス資格を持っている者もいるから、官民で「戦略級脅威インテリジェンス」を共有し活用できている。
<続く>
