以前紹介したSANSの"Cyber Threat Intelligence Consumption"では、Strategic Intelligenceとは、経営層に向けたインテリジェンスとされています。経営層(Senior Management)に対する脅威インテリジェンスについて考えてみたいと思います。
なぜ経営層にインテリジェンスが必要なのか?
前提として、組織とは「一定の共通目標を達成するために、成員間の役割や機能が分化・統合されている集団」と定義されています。経営層は、組織が持つ「一定の共通目標」を継続的に実現するために組織を運営しますが、その目的では決して組織のセキュリティレベルを上げることではなく、セキュリティは付随的な課題であるはずです。
最近では、経済産業省が公表した「サイバーセキュリティ経営ガイドライン」により、経営層のサイバーセキュリティへの意識・感度は高くなっている一方、やはりどこまで対策をすればよいのかわからないケースも多く、対策の検討が後回しになっている組織も多いと思います。
そのため、「経営層のためのインテリジェンス」とは、以下のように位置付けたいと思います。
攻撃者・脅威・外部環境に関する情報をもとにリスク管理戦略をを企画・立案し、セキュリティ投資を推進すること
つまり、「どんなセキュリティ戦略をとっていくべきなのか?」、「今後の経営戦略やセキュリティ投資をどうするべきか?」など経営層の意思決定に必要な情報を収集することが目的となります。
事例:NTTコミュニケーションズの事例
例えば、NTTコミュニケーションズは2013年7月にStruts2の脆弱性(S2-016)を悪用されて、IDに使われるメールアドレスと暗号化されたパスワードなど、最大約400万件が流出した可能性があるといわれていました。
この教訓を踏まえた対応として、2017年3月にStruts2の脆弱性(S2-045・S2-046)が公表された際に、同社は脆弱性情報公開日の翌日朝に、OCN配下のサービスを軒並み停止し、被害発生を防ぐという英断を行いました。脅威インテリジェンスを意識してか否かは不明ですが、主要サービスの停止という判断フローを組織内に組み込めたのは、経営層に脆弱性の影響や漏洩発生時に発生するコスト、他組織の動きやマスコミの動向など、様々な情報を経営層にインプットして、組織として業務プロセス等を見直したが故だと推測できます。
インセンティブの重要性
とはいえ、経営層にとってセキュリティは本来の目標ではないため、セキュリティに目を向けリスク管理戦略を推進するためのトリガー、インセンティブ(誘因)が重要となります。
インセンティブとは、経済学の概念で、「人々の意思決定や行動を変化させるような要因」と定義されます。言い換えれば、経営層の行動を変えセキュリティへの投資を積極的に行う動機付け・正当性を与えてあげることにより、経営層はリソースの一部を本来の組織目標からセキュリティへ割り当てるようになるといえます。過去ベストセラーとなった『ヤバい経済学』では、「経済学は突き詰めるとインセンティブの学問だ」と指摘しており、その種類として社会的・経済的・道徳的インセンティブの3種類を挙げていました。
PESTLE分析を応用する
セキュリティの場合、経営層にインセンティブを与える要因は主に外部要因になると思います。ここでは、マーケティングのフレームワークの一つであるPESTLE分析という外部環境分析フレームワークを拝借して考えていきたいと思います。これは、マーケティングを行う際に外部環境を分析する観点です。
なお、コンサルティングなどのビジネス分析の教科書にはこの原型であるPEST分析が有名ですが、ここではその拡張概念であるPESTLE分析を採用しています。それでは、この概念をもとに経営層が興味を持つインセンティブを検討していきましょう。(こうしたフレームワークはいくつも種類があり、他の有名なフレームワークとしてPERSIA[Political, Economic, Religious, Social, Intellectural, Area]などが挙げられます。自社が置かれている環境により考えるべき要素も異なるため、必要に応じて考える必要があります。)
P : Political(政治的要因)
この観点では、組織を脅かす政治的要因(訴訟・特定の組織・団体とのトラブル・政治的情勢)を分析し、脅威を分析する技術です。特に、脅威の構成要素の中でもHostile Intent(敵対的な意図)を持つ団体が存在しないか分析を行います。例えば、「特定の訴訟・対応が反発を招いていないか?」と「政治的情勢を鑑み、自社の情報・立場が狙われる可能性がないか?」という観点で、外部から自社を見て脅威を分析して行きます。ここで重要なことは、自社そのものが攻撃者の狙いでなくても、サプライチェーン攻撃の観点から攻撃者に狙われる「組織の特徴」をもっていないか検証することも重要です。
E:Economical(経済的観点)
経営層が一般的に投資を決断する際には、セキュリティ投資をしない方が経済的に損失である、言い換えればセキュリティ投資の費用便益分析をした際に、便益の方が上回る必要があります。この観点では、経済合理性の観点から、現時点でのセキュリティレベルがより投資を促すべき状況であることを示し、経営層へのインセンティブを構築します。そのため、他社事例の被害額、自社データの価値などを算出しながら、投資を促すことが重要です。このような分野は「セキュリティ経済学」と呼ばれ、様々な分析が行われています。
S : Social(社会的要因)
社会的要因とは、セキュリティに対する世論の考え方・反応・意見、および同業他社・異業種の取り組みを参考にしながら、自社のセキュリティ状況と比較し、自社への投資判断を促す観点です。世論の考え方、同業他社の考え方は特に重要です。同じサービスレベル・金額であれば、セキュリティの高いほうを利用したいと思うのが一般的ですし、世論の意見もビジネスの継続性等に特に影響します。また、同業他社がやっているからやるというのも立派な要因となり得るでしょう。
日本年金機構が情報漏洩をした際に「通信の全遮断すべき」という意見がでて同じような対応を検討したり、シミュレーションを行った企業は多くと思いますが、このようなアクションも「経営層のためのインテリジェンス」の一つだといえます。(それが本質的な意味でよいかどうかは別の問題です。)
T : Technology(技術的要因)
新しい技術の台頭や、攻撃技術の進歩・トレンドの観点から、自社のセキュリティレベルを点検し、必要に応じてセキュリティ投資を促す観点です。
新しい技術の台頭とは、スマートフォンの登場やクラウドサービスの普及など、新しい技術の台頭・流行を意味します。新しい技術がでれば出るほど、新しいリスクが出てきます。そのため、経営層向けのインテリジェンスを扱う担当者は常にこの手の技術に敏感である必要があります。
一方、攻撃技術の進歩・トレンドの観点では、Opeartional Intelligenceで取得した攻撃トレンド・技術をもとに、自社のリスクを示し、経営者のセキュリティ投資判断を促します。そのためには、自社でリスク分析を行ったり、侵入テスト(Adversary Simulation)などを実施して自分の見解を裏付けることもあります。特に最近では、具体的な侵入手口をもとにリスク分析を行う「攻撃シナリオ分析」という手法も取り入れられ、具体的に投資すべき対象を明確化する手法も存在します。
L : Legal(法的要因)
この観点では法的要因、言い換えれば政府方針、業界団体による規制やガイドラインなどをトリガーにセキュリティ投資を促すもので、Regulation Securityとも呼ばれます。代表的な事例とすると、NY州金融サービス局が金融業界に発表した規制や、PCI-DSS、および金融庁の出す指針などが挙げられます。特にこの観点ではやらない場合のペナルティ等があるため、かなり強いインセンティブとなります。
E : Environment(環境的要因)
この観点は、他社攻撃事例により、セキュリティ投資を促します。言い換えれば、自社が攻撃者にどのように見えるか、それを説明することで投資のインセンティブを提示します。
まとめ
こうした経営層向けの脅威インテリジェンスは、経営層を説得する上で重要な要素です。もちろん、ホラー営業風になってはいけませんが、適切な脅威を紹介し、適切な条件を引き出すことは重要です(但し、投資した場合、その費用対効果は必ず後に問われます。そのため、きちんと運用することも重要となります)