企業のセキュリティ担当チームが提供している"サイバーセキュリティ意識向上トレーニング"を受講した経験がある方が多いのではないでしょうか。

私も過去のこの類のトレーニングを受講(させられた)した経験が何度かあります。

大抵はOnlineトレーニングで、オフィス入出の際は不審者に気をつけることや、不審なEmailのリンクはクリックしない等が多かった気がします。

しかしながら、これらはあくまで攻撃を仕掛ける輩の手段の一例(How)で、輩の最終的な目的(What)に焦点が当たっていない気がします。

では、輩の最終的な目的(What)は何なのでしょうか?

私は輩の最終的な目的は、企業内に散在している重要な資産を搾取することと思っています。何か小難しいですね。

資産をもう少し因数分解すると下記のように表現できるかと思います。

端末、通信機能、ソフトウェア、情報、ユーザ

端末はPCやスマートフォン等のユーザが利用するデバイスや、クラウドやデータセンター内に存在するサーバ等のワークロードも含まれます。

通信機能はWiFi等の通信サービスをて提供するモノやサービスです。

ソフトウェアは企業内で開発者がコードを駆使して開発されたモノ、またはSaaSのような既にあるモノです。

情報は企業内にあるあらゆる情報(例/個人情報や設計情報)です。

ユーザは人そのものです。記事を拝聴頂いている皆様ですね。

これらの各々の資産について、下記の視点で現状を整理すると、輩が企てている攻撃による被害を最小化できるのではと思います。

• 今何がどの用になっている、または誰がいるのか?(棚卸し)

• それら、または彼/彼女らの位置づけは?(影響)

• それら、または彼/彼女らが持っている穴は?(脆弱性)

• そらら、または彼/彼女らが受ける可能性がある攻撃は?(脅威)

例えば情報にしても、インターネット上に公開されている記事をコピーしてテキストに貼り付けただけのものと、企業のお客様の個人情報(例/名前、電話番号、Email)では、影響は全く異なります。

ソフトウェアにしてもしかりです。G公開されているリポをクローンしただけのものと、門外不出のコードを管理しているリポは位置づけは違いますね。

あれもこれも守ることは不可能かと。本当に大切なものを冷静に見極めて、それらを確実に守るように務めるべきですね。