セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

2025年度版:Strategic Intelligenceの取り扱いについて

エッセイ

最近、様々な場所で脅威インテリジェンスやそれに関する講演、議論をさせていただく機会を頂戴するのですが、その中の一つで、「Strategic Intelligenceをどのように実現すべきか?」という議論がよく持ち上がります。

中でも、よくある相談事項として、「Strategic Intellignece=セキュリティニュース報告」になっており、本来報告すべき内容が報告できていないのではないか?という相談です。

実は『脅威インテリジェンスの教科書』を書いた際、この部分はかなり悩んでいました。

gihyo.jp

出版から3年以上たった現在でも、明確な解決策・指針があるわけではありません。

しかし、色々試行錯誤した結果、「セキュリティニュース報告でもやった方がStrategic Intelligenceとしての意味がある」と考えるようになりましたので、今回はその考えを書いてみたいと思います。

Strategic Intelligenceとは?

今回は、Strategic Intelligenceとインテリジェンスの基礎概念を振り返りながら、なぜ「セキュリティニュース報告」でも問題ないのか、考えを話してみたいと思います。

脅威インテリジェンスには、Tactical、Operational、Strategicと3種類に分類されます。

中でもStrategic Intelligenceは、「経営層向け」のインテリジェンスであり、「リスク変化に対するハイレベルな情報を提供することで、セキュリティに関する適切な意思決定・投資判断のインプット」を提供することを目的としています。

 

執筆当時は存在しなかったChatGPTに聞いても、以下のように答えてくれおり、おおむね理解としては間違っていないでしょう。

脅威インテリジェンスにおけるStrategic Intelligence(戦略的インテリジェンス)は、経営層や意思決定者が、組織のリスク管理・予算配分・セキュリティ戦略策定を行うために必要な長期的・高レベルの情報を提供するものです。

報告すべき項目は、以下のようにまとめられます:

  • 1. 脅威のマクロトレンドと情勢
    • 国家支援型攻撃の増加傾向
    • 特定業界(例:金融、医療)に対する標的型攻撃の動向
    • 地政学的情勢がもたらすリスク(例:中国・ロシアの動き、中東情勢)
    • 先進的なTTP(戦術・技術・手順)の出現と拡散
  • 2. 業界・地域別の脅威ランドスケープ
    • 同業他社における重大インシデントの概要と教訓
    • 業界団体やISACなどのレポートに基づく業界リスク
    • 日本国内/アジア地域における独自の脅威傾向
  • 3. 攻撃者の動機と能力(Adversary Intent & Capability)
    • 攻撃者グループの目的(金融利益、諜報、破壊活動)
    • APTグループの関心領域と対象変化(例:防衛→保険)
    • 攻撃手法の高度化、例:サプライチェーン攻撃、AI活用型マルウェア
  • 4. セキュリティ戦略に対する影響評価
    • 今後必要な投資領域(例:クラウドセキュリティ、ゼロトラスト)
    • 組織の脅威プロファイルに照らしたギャップ分析(例:重要資産が未保護)
    • 新たなレギュレーション(例:NIS2、DORA、SEC開示規則)への準拠課題
  • 5. 将来予測と意思決定支援
    • 「今後1~3年でどのような脅威が顕在化するか」
    • 組織のレジリエンスを高めるための戦略的アクション案
    • 投資対効果(ROI)や優先順位づけの提案
  • 6. サマリーとレコメンデーション

良い脅威インテリジェンスの条件(4A条件)

一方、良い脅威インテリジェンスの条件として、4A条件が挙げられます。これは、以下の4種類の条件の頭文字を取ったものです。

  • Accurate(正確性)
  • Audienced Focused(利用者目線である)
  • Actionable(アクショナブル)
  • Adequate Timing(適切なタイミング)

この時、Strategic Intelligenceで問題になってくるのが、Audienced Focused(利用者目線である)とActionable(アクショナブル)という2種類の条件です。

それぞれ具体的に見ていきましょう。

論点#1:Strategic IntelligenceのAudienceは誰なのか?

第一の論点は、Audienced Focused、つまり「経営層に何を伝えれば、(利用者にとして)有益なのか?」という点です。セキュリティニュースを数枚のBriefing Paperにまとめている人は、「経営層目線でに役立つ情報を渡せているのか?」という点で疑問を感じているため、この議論が出ると考えています。

この議論で重要となるのは、「Strategic IntelligenceのAudience(利用者)って誰なのか?」を明確化する必要がある点です。ご存じの通り、経営層といっても色々な種類の人がおり、報告内容が異なります。

ここでは、2×2のマトリックスで整理をしておきましょう。

上記のマトリックスが示す通り、一般的な経営層は大きく4種類に分類されます。当然、それぞれの役職により詳しさが異なります。

  • CISO(Chief Information Security Officer):
    • IT・セキュリティに詳しい人
  • CIO/CTO(Chief Information/Technology Officer):
    • ITに詳しい人(セキュリティへの理解度は人による)
  • CRO/CCO(Chief Risk/Compliance Officer):
    • (法律面・規定類などの意味で)セキュリティに詳しい人
  • その他の経営層(CEO):
    • IT・セキュリティともに詳しくない人

CISOに対しては、当然の攻撃手法や現在のセキュリティ態勢状況など詳しく説明すべき一方、その他の経営層に対しては、それぞれが持ち合わせる知識レベルに対し、報告していく必要があります。

以後の論点では、基本的にCISO以外への報告を前提にお話をしていきますが、その意味でその多くはセキュリティに詳しくない人を対象にしていく形となります(CROは、リスク管理や規定類、法律などの観点でセキュリティに詳しい人ですが、技術的に詳しい人ではありません)。

論点#2:Strategic Intelligenceは「Actionable」であるべきか?

第2の論点はActionable、「経営層の意思決定に役立つ情報を提供できているのか?」という点です。確かにセキュリティニュースを提供しても約90%の場合、何か意思決定につながることは少なく、果たしてStrategic Intelligenceとして価値があるのかという疑問が出るのは当然かと思います。

Actionable = Wartime」という前提条件

個人的に試行錯誤した結果、提唱する4A条件と矛盾しますが、個人的には「Strategic Intelligenceは一定の条件を満たす限り、Actionableでなくて良い」と考えています。言い換えれば、セキュリティニュース報告でも十分に意味を持つと考えています。ここでいう「一定の条件」とは、報告している状況が「平時(Peacetime)」であるという点です。

基本的に、脅威の攻撃手法などは日々変化していますが、(CISO)を除いた経営層やシニアリーダーシップ層に何か予算・全体の変更など何か決断してもらうような「Actionable」な状況は、一般的に「有事(Wartime)」だと言えるでしょう。例えば、「コロナ禍におけるリモートワーク実施やリスク受容判断」、「特定の脆弱性の悪用を防ぐため、システムの一次停止の判断」などは、基本的に有事なので経営層に意思決定(決済・決定)を求める必要があります。

言い換えれば、Actionableな報告がないことは、それは「平時」ということであり、その意味で普段はActionableである必要がないと思います。

セキュリティニュースを提供するメリット:

また、上記を踏まえた上で、平時でもセキュリティニュースを定期的に報告することには大きく3種類ぐらいのメリットがあるといえます。

メリット#1:Situational Awarenessの構築

Situational Awareness(状況認識)といえばかっこいいですが、要は「サイバーセキュリティに対する健全な危機感の醸成」です。CISO以外の経営層にとって、セキュリティは数ある経営課題の一つにすぎず、常に考えているトピックではありません。気づけば、忘れられたり、ニュースをきっかけに急に温度感が挙がることもあるでしょう。

その際、定期的なセキュリティニュース報告は、温泉を42度に保つのと同様、「セキュリティの温度感を適温にしておく」上で非常に重要な活動になります。常日頃からこうしたニュースに接していれば、温度感が急上昇・急降下避けやすくなります。

また、人間は「変化に適応するのが得意」なわけではなく、それは経営層も同じです。そんな中、いきなり有事に大きな変化を報告すれば、「なんでそんなことになっているんだ?」という反応になるケースもあるでしょう。こうした拒否反応にならないよう、日頃からサイバーセキュリティに対する適切なメンタルモデルを構築する上でも、こうした定常報告は意味を持ちます。

メリット#2:教育的意義

教育的意義というとおこがましいですが、こうした定期報告は、セキュリティを知る上で必要な情報(例えば、二要素認証)をインプットするきっかけとしてもいいきっかけです。某インシデントの際、経営陣が「二段階認証」を知らないことで話題となりましたが、こうしたセキュリティの重要キーワードについて説明する上でも非常に良い機会になると思います。

メリット#3:関係性の構築

定期的な報告は、役員への関係性の構築にも役立ちます。CISO Mindmapの一つにも挙がっていますが、Security Team Brandingはセキュリティチームがやるべき仕事の一つです。

rafeeqrehman.com

具体的には、セキュリティが組織の目標に合致しているかどうか、セキュリティチームがどのような付加価値を組織にもたらしているか、説明する義務があります(一般にセキュリティはコストセンターなので、こうした付加価値を示さないと予算・採用などにも影響します。そのため、こうした定常的にセキュリティニュースを報告し、また可能であれば内部のセキュリティ態勢をKPIなどを用いて報告することで、存在意義や活動状況を示すことが可能です。

また、関係性の構築が進めば、急な質問が飛んでくることも減らすことができるケースも存在します。たとえば、某新聞が、「APT XXXにより...」と報じた際には、経営層から質問が飛んであたふたすることになるでしょう。しかし、定期的に報告をするスキームを構築しておけば、せっつかれなくなったケースもあるもあるでしょう*1

まとめ

今回は、Strategic Intelligenceでよくある課題に対し、一つの考え方を示しました。Strategic IntelligenceはまだBest Practiceが定まっていない分野の一つであり、各社そのやり方に悩んでいる方も多いと思います。ここで示した考え方が参考になれば幸いです。

*1:せっかちな経営層はどこにでもいるので、理屈通りにいかないケースも多分にあります