(U) 「NSA/CSS テクニカル・サイバー脅威フレームワーク v2(NTCTF v2)」は、国家情報長官サイバー脅威フレームワークの技術的な拡張として策定されました。これは、オペレーティングシステムに依存しない共通の技術レキシコンを用いて、NSA が敵対者の活動をどのように記述・分類するかを標準化することを目的としており、業界の定義とも密接に整合しています。この共通の技術サイバーレキシコンは、情報コミュニティ全体における共有、製品開発、作戦計画、知識駆動型の運用を支援します。技術サイバーレキシコンを一般に公開することで、コミュニティ全体との協働が可能になります。NTCTF を用いることで、知識管理を支えるために敵対者の活動を整理・検討し、分析作業を可能にします。
(U) 「NSA/CSS テクニカル・サイバー脅威フレームワーク v2」と題するサイバーテクニカルレポートは、敵対者のライフサイクル全体にわたる活動について、米国政府がパートナーや関係者と協力して議論する際の参照として用いる標準定義の基盤を提供します。
サイバー脅威情報とは、組織がサイバー脅威を特定・評価・監視し、対応するのに役立つあらゆる情報のことです。サイバー脅威情報には、侵害の指標(IoC)、脅威アクターが用いる戦術・技術・手順(TTPs)、攻撃を検知・封じ込め・防止するための推奨アクション、そしてインシデント分析から得られた知見が含まれます。サイバー脅威情報を共有する組織は、自組織だけでなく他組織のセキュリティ体制の強化にも寄与できます。
本書は、サイバー脅威情報の共有関係を構築し、参加するためのガイドラインを提供します。本ガイダンスは、情報共有の目標を定め、サイバー脅威情報の情報源を特定し、共有活動の範囲を明確化し、脅威情報の公開と配布を管理する規則を策定し、既存の共有コミュニティと関与し、組織全体のサイバーセキュリティ実務を支援する形で脅威情報を有効活用するのに役立ちます。
政府、医療機関、重要なインフラストラクチャ、または多国籍環境で活動する組織は、ビジネス上の前提として侵害の可能性を認識しなければ、レベル 1 のリスクを合理的に受け入れることはできません。
これは、リスク実務者からよく聞く、しかもますます分断を生む発言のひとつです。
質問としてではありません。スローガンとしてです。
▪️「リスク登録簿の使用をやめろ」
▪️「そんなのは役に立たない」
▪️「付加価値がない」
繰り返されることは多いのに、説明はほとんどありません。
このカルーセルはまさにそのために作られました。何をやめるべきかばかりが語られ、誰も次の点を明確に説明しないことに、多くの実務者がうんざりしているからです。
▶️ なぜリスク登録簿が実務で機能不全に陥るのか
▶️ それでも妥当性があるのはいつか
▶️ そして妥当でないときに何で置き換えるべきか
このシリーズは、リスク登録簿を盲目的に擁護しません。
同時に、廃止も訴えません。
その代わりに、リスク登録簿がどのような条件のもとで
▪️有用になり得るのか
▪️制限が不可欠なのか
▪️そして必然的に有害化するのか
を、明確で譲れない基準として示します。
もし次の点について疑問に思ったことがあるなら:
✔️ なぜリスク登録簿がしばしば官僚的な一覧表に堕してしまうのか
✔️ それをやめれば本当に問題が解決するのか
✔️ ISO 31000 が明示的・暗黙的にリスク登録簿をどう位置づけているのか
👉 このカルーセルはあなたのためのものです。
スワイプして、リスク登録簿が本当にマネジメントを支えるのはいつか、そして最も規律ある選択が、それらを単純化し、縮小し、あるいは明確さと自信をもって手放すことなのはいつかを見てみましょう。🙏
0 件のコメント:
コメントを投稿