10章戦略的インテリジェンス

“Our products have become so specific, so tactical even, that our thinking has become tactical. We're losing our strategic edge because we're so focused on today's issues.”

「私たちの報告書が具体的になり、戦術的になればなるほど、考え方や目線も戦術的になっていく。今日明日の話題に注視しすぎれば、戦略的な鋭さを失っていくだろう」

─John G. Heidenrich(グローバル戦略的インテリジェンスコンサルタント ジョン・ハイデンリック)

 インシデント対応担当者はときどき、後頭部を刺されるような感覚で調査を開始します。人によっては、それを予感と呼んだり、デジャブ(Deja vu)と呼んだりしますが、調査が一段落すると、必然的にある感覚がインシデント対応担当者を襲うでしょう。「これ、前に扱ったことがある事案だ。まったく同じ調査、やったことがある……」

 それが1か月前なのか、あるいは1年前かに関わらず、インシデント対応担当者は同じような状況を同じように対処していることに気付かされます。同じ脆弱性、同じ横断的侵害手法、おそらく過去に盗まれたり、再利用されたりしたパスワードとまったく同じパスワードが悪用されているなどです。この時点で、多くの人は拳を振り回し、「どうしてこんなことが起こったのか?」を尋ねるでしょう。前回のインシデントから何も学んでいなかったのでしょうか? 問題を解決できていなかったのでしょうか? 残念ながら、多分その通りです。最後のインシデントが解決されたときには、心配すべき別の課題や、ITマネージャーからCIOなど全ての人の注意を引き付ける新しい問題があったのです。一方、当該の問題は「既に解決済み」となっていたので、そのことについて考える時間はもうありませんでした。教訓は学習されておらず、もちろんいくつか小さな改善は行われたかもしれませんが、緊急で対応すべき新しい問題を優先したため、組織のセキュリティに永続的な改善は行われませんでした。 ...

Get インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法 now with the O’Reilly learning platform.

O’Reilly members experience live online training, plus books, videos, and digital content from nearly 200 publishers.