脅威インテリジェンスは企業のリスク評価に不可欠である。米国シークレットサービスの元捜査官が脅威インテリジェンスプログラムの成功に必要な条件を明かす。
情報セキュリティに関しては、大小の企業が戦略の変更に取り組んでいる。企業の担当者は、防御的にあらゆる手を打とうと試みることに貴重な資金を投じるのではなく、リスク評価の結果に基づいて、情報セキュリティ戦略を展開しようとしている。
このトレンドの勢いが増し始めたのは、米国立標準技術研究所(NIST)が「Guide for Conducting Risk Assessments」(リスク評価実施の手引き)を発表した2012年のことだ。この文書の冒頭には、「リスク評価は、効果的なリスク管理の重要な要素の1つであり、リスク管理の階層を構成する3つの層、つまり組織レベル、ミッション/ビジネスプロセスレベル、情報システムレベルのすべてで意思決定を促進する」と書かれている。
NISTの手引きによると、リスク評価の目的は、以下のことを明らかにして、意思決定者を啓発し、対応を支援することだという。
- 組織と関連性のある脅威
- 組織内外の脆弱性
- 損害の発生する可能性
- 実際に攻撃を受けた場合の組織への影響
脅威がすべて
NISTの文書では、脅威という単語が600回以上登場する。著者が何を強調したいのかは明白であり、それは理解できることだ。脅威は、NISTにも企業のデジタル資産の責任者にも制御できないことである。Recorded Futureで脅威インテリジェンス担当バイスプレジデントを務めるLevi Gundert氏もこの厄介な事実を認識している。
Gundert氏は、「Aim Small, Miss Small: Producing a World-Class Threat Intelligence Capability」(的を小さくして、失敗の可能性を低減:世界レベルの脅威インテリジェンス機能を実現する)と題された自身の論文の中で、「プラクティスとしての脅威インテリジェンスはいまだに多くの企業にとって分かりにくい概念である。効果的な脅威インテリジェンスプログラムは、経営リスクの低減や市場での差別化による競争上の優位性強化といった明確な事業目標を特定および評価する」と述べている。
換言すると、脅威の場所と正体、時期、方法を理解することが大切だ。
提供:iStock/agsandrew