「MITRE ATT&CKが読めないどころかマルウェアも知らない経営者」が会社を危険にセキュリティ用語は“難し過ぎる”のか【前編】

企業の経営幹部はセキュリティ用語を理解していないことが、ある調査で分かった。理解不足はなぜ、企業にリスクをもたらすのか。

2023年02月21日 10時00分 公開
[Alex ScroxtonTechTarget]

 企業の経営幹部は、自社が攻撃を受けるリスクを強く意識しているはずだ。ところが「セキュリティ用語」となると、あまり理解できていないことが、セキュリティベンダーKaspersky Labの調査によって明らかになった。経営幹部がセキュリティ用語を正しく理解しないことは、なぜ危険なのか。

ところで「MITRE ATT&CK」の読み方は?

 Kaspersky Labは2022年9月、欧州企業の経営幹部1800人を対象に調査を実施した。その結果、セキュリティ用語の理解について両者の間に大きなギャップがあることが分かった。Kaspersky Labによると、大半のセキュリティ用語は「相手に正しく意味を伝える」ことに失敗しており、セキュリティ専門家でなければ十分に意味を理解できない恐れがある。

 企業の経営幹部が特に混乱するセキュリティ用語の例として、Kaspersky Labは下記を挙げる。

  • IoC(Indicator of Compromise)
    • 侵害指標や痕跡情報
  • MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)
    • 読み方は「マイターアタック」。攻撃の戦術を分析してノウハウ化したフレームワーク。米国のIT研究団体「MITRE」が発行している
  • TTPs(Tactics, Techniques, Procedures)
    • 攻撃者の戦術、技法、手順
  • Suricata
    • オープンソースの侵入検知・侵入防止ツール
  • YARA
    • オープンソースのマルウェア検出ツール

 「マルウェア」や「フィッシング」「ランサムウェア」(身代金要求型マルウェア)といったよく使われるセキュリティ用語に関する理解も不足していると、Kaspersky Labは指摘する。

 Kaspersky Labの英国・アイルランド担当地域マネジャーであるスチュワート・ピーターズ氏は、「専門用語や略語は専門家にとっては便利な言葉だが、それ以外の人にとっては混乱の元となる」と言う。企業の経営幹部は脅威について十分に理解していないため、セキュリティの優先度が分からず、具体策を軽視しかねないと同氏は懸念する。


 中編は、セキュリティ用語が本来の目的とは反対の影響を生んでしまう「逆効果」を取り上げる。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news131.jpg

メッシやベリンガム、ヴィルツも登場 アディダスが世界で展開する豪華過ぎるサッカー推しキャンペーンの中身
Adidasが夏のサッカーシーズンに向けて新キャンペーンを世界各地で展開する。デビッド・...

news058.jpg

Web広告施策に課題を感じている企業は9割以上――リンクアンドパートナーズ調査
企業のWeb広告施策を推進している担当者約500人を対象に、課題と今後の取り組みについて...

news183.jpg

TikTokマーケティングの最適解へ スパイスボックスが縦型動画クリエイター集団M2DKと業務提携
スパイスボックスが縦型動画クリエイター集団であるM2DKと業務提携。生活者に向けて訴求...