的を小さくして、失敗の可能性を低減
米国シークレットサービスの元特別捜査官で、ロサンゼルス電子犯罪タスクフォースに配属されていたGundert氏は、射撃練習場にいた。同氏の放った弾丸のほとんどは的を外れた。教官がGundert氏に、紙の標的を動かして、紙の側面が自分の方に向くようにしろと命じた。Gundert氏はそれにしたがって標的を設置し直し、銃を発射した。
「私は的に命中したはずがないと思いながら、標的を元の向きに戻して、あぜんとした。紙の真ん中が一直線に破れていた。私は信じられないという表情で教官を見た」(Gundert氏)
- TechRepublic Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
- “マグニチュード”で危険度を数値化するSIEMのインテリジェンス--日本IBM
- セキュリティ対策をライフサイクルで捉えるこれからのSIEM--マカフィー
教官は、「それでいい。的を小さくして、失敗の可能性を低減することが重要だ」と答えた。
Gundert氏によると、「的を小さくして、失敗の可能性を低減」することは、脅威インテリジェンスにも同様に応用可能だという。脅威インテリジェンスでは、膨大な量のデータが生成される。同氏は、「真に効果的な脅威インテリジェンスの前提となるのは、インテリジェンスへの取り組みを特定の事業目標に集中させることだ。そうすることで、より大きな領域に対応することが不要になり、やりがいのある特定の価値の追求のみに取り組めるようになる」と説明する。
効果的な脅威インテリジェンスプログラムに必要な要素
効果的な脅威インテリジェンスプログラムには、運用に関する要素と戦略的な要素の両方が必要だとGundert氏は感じている。運用に関する要素には、次のものが含まれる。
- インシデントの特定:この要素は、利用可能なあらゆるソースからの外的攻撃データの処理に焦点を当てる。このプロセスを自動化することで、外的な攻撃と内部インシデントを早期に特定し、その情報を活用することができるとGundert氏は述べている。
- 防御コントロール:この要素の理想的な役割は、攻撃の防止または緩和だ。この要素は、新しいデータが利用可能になるたびにそれを反映しなければならないとGundert氏は付け加える。