海外コメンタリー

的を小さくして、失敗の可能性を低減--脅威インテリジェンスプログラム成功の要素とは

Michael Kassner (Special to TechRepublic) 翻訳校正: 編集部

2016-03-08 06:30

 脅威インテリジェンスは企業のリスク評価に不可欠である。米国シークレットサービスの元捜査官が脅威インテリジェンスプログラムの成功に必要な条件を明かす。

 情報セキュリティに関しては、大小の企業が戦略の変更に取り組んでいる。企業の担当者は、防御的にあらゆる手を打とうと試みることに貴重な資金を投じるのではなく、リスク評価の結果に基づいて、情報セキュリティ戦略を展開しようとしている。

 このトレンドの勢いが増し始めたのは、米国立標準技術研究所(NIST)が「Guide for Conducting Risk Assessments」(リスク評価実施の手引き)を発表した2012年のことだ。この文書の冒頭には、「リスク評価は、効果的なリスク管理の重要な要素の1つであり、リスク管理の階層を構成する3つの層、つまり組織レベル、ミッション/ビジネスプロセスレベル、情報システムレベルのすべてで意思決定を促進する」と書かれている。

 NISTの手引きによると、リスク評価の目的は、以下のことを明らかにして、意思決定者を啓発し、対応を支援することだという。

  • 組織と関連性のある脅威
  • 組織内外の脆弱性
  • 損害の発生する可能性
  • 実際に攻撃を受けた場合の組織への影響

脅威がすべて

 NISTの文書では、脅威という単語が600回以上登場する。著者が何を強調したいのかは明白であり、それは理解できることだ。脅威は、NISTにも企業のデジタル資産の責任者にも制御できないことである。Recorded Futureで脅威インテリジェンス担当バイスプレジデントを務めるLevi Gundert氏もこの厄介な事実を認識している。

 Gundert氏は、「Aim Small, Miss Small: Producing a World-Class Threat Intelligence Capability」(的を小さくして、失敗の可能性を低減:世界レベルの脅威インテリジェンス機能を実現する)と題された自身の論文の中で、「プラクティスとしての脅威インテリジェンスはいまだに多くの企業にとって分かりにくい概念である。効果的な脅威インテリジェンスプログラムは、経営リスクの低減や市場での差別化による競争上の優位性強化といった明確な事業目標を特定および評価する」と述べている。

 換言すると、脅威の場所と正体、時期、方法を理解することが大切だ。

脅威インテリジェンスプログラムを成功に導く4つの必須要素
提供:iStock/agsandrew

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  5. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]