日本電気株式会社(NEC)は1月27日、それぞれの組織や目的に合ったスレットランドスケープの見つけ方について、同社セキュリティブログで解説している。
スレットランドスケープは、サイバー脅威を取り巻く情勢を描いたものだが十人十色で一つの答えがなく、あくまでも描いた人(組織)からの見え方で、大きな絵の一部分にすぎないというもの。
作成されるスレットランドスケープレポートには、以下3つのタイプがある。
・特定の要件に応じて作成されたスレットランドスケープ
特定の質問(インテリジェンス要件)を持っている特定のステークホルダーが存在し、その質問に対して構造化されたフォーマットで答えているレポート
・リサーチに基づいて作成されたスレットランドスケープ
ある特定の着眼点に対するリサーチ能力があり、データや情報に沿って作成されたコンテンツ
・推理と推測で作成されたスレットランドスケープ(Guestimate)
スレットランドスケープという概念を借りてステークホルダーの要望に合うように仕立て上げられたレポート
同ブログでは、スレットランドスケープが描かれている代表的なレポート例として下記を挙げている。
・IPA「情報セキュリティ10大脅威2023」
・警察庁「サイバー空間を巡る脅威の情勢等」
・ENISA「ENISA Threat Landscape 2022」
・FBI「FBI Internet Crime Report 2021」
・Verizon「2022年データ漏えい/侵害調査報告書」
IPAが発行した「情報セキュリティ10大脅威 2023」では、組織における脅威としてランサムウェアによる被害が3年連続で1位となっていたが、同結果を参考に組織がランサムウェアによる被害にあった場合に事業への影響が大きいためにリスクと捉え、ランサムウェア対策の年間計画への組み込みを検討することや、10大脅威を参考に対策の優先順位を決めることが考えられる。
一方、警察庁が発行している「サイバー空間をめぐる脅威の情勢等」では、企業・団体等におけるランサムウェア被害の実態が掲載されており、組織の規模を問わず被害が発生していることや、復旧に要する時間や費用も掲載されている。
同ブログでは、効果的なセキュリティリスク対策をする際には、ランサムウェアの被害傾向や想定される影響など、サイバー脅威を取り巻く情勢を把握し、戦略的な理解をした上で意思決定をしていくという使い方が想定されるとし、新たに浮かびあがる疑問に対し詳細調査を指示することで、特定の部分を鮮明に描くことができたり、より全体像の絵が得られ、その結果、より質の高い意思決定が可能となるとしている。
同ブログでは、スレットランドスケープに対する問題点として、各組織が求めるものはそれぞれ異なるため、どの要求にも合致する万能のものはないことを挙げ、最適なスレットランドスケープを得るための理想的な方法は、サイバー脅威について調査しまとめ上げるチームをそれぞれの組織内で持つことであるが、現実的には、それぞれの組織と同じ業界を前提としているレポートや、事業構造を想定しているレポートを探し、必要な箇所を抽出し、求めている情報にできるかぎり近づけていくことだと述べている。
