「MITRE ATT&CKが読めないどころかマルウェアも知らない経営者」が会社を危険に：セキュリティ用語は“難し過ぎる”のか【前編】

企業の経営幹部はセキュリティ用語を理解していないことが、ある調査で分かった。理解不足はなぜ、企業にリスクをもたらすのか。

[Alex Scroxton，TechTarget]

　企業の経営幹部は、自社が攻撃を受けるリスクを強く意識しているはずだ。ところが「セキュリティ用語」となると、あまり理解できていないことが、セキュリティベンダーKaspersky Labの調査によって明らかになった。経営幹部がセキュリティ用語を正しく理解しないことは、なぜ危険なのか。

ところで「MITRE ATT&CK」の読み方は？

併せて読みたいお薦め記事

セキュリティ用語を使うときは注意が必要だ

• 「セキュリティ用語」をあいまいな理解で使ってはいけない“納得の理由”
• 「侵入テスト」にまつわる3つのセキュリティ用語　正しい意味は？

　Kaspersky Labは2022年9月、欧州企業の経営幹部1800人を対象に調査を実施した。その結果、セキュリティ用語の理解について両者の間に大きなギャップがあることが分かった。Kaspersky Labによると、大半のセキュリティ用語は「相手に正しく意味を伝える」ことに失敗しており、セキュリティ専門家でなければ十分に意味を理解できない恐れがある。

　企業の経営幹部が特に混乱するセキュリティ用語の例として、Kaspersky Labは下記を挙げる。

• IoC（Indicator of Compromise）
  • 侵害指標や痕跡情報
• MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）
  • 読み方は「マイターアタック」。攻撃の戦術を分析してノウハウ化したフレームワーク。米国のIT研究団体「MITRE」が発行している
• TTPs（Tactics, Techniques, Procedures）
  • 攻撃者の戦術、技法、手順
• Suricata
  • オープンソースの侵入検知・侵入防止ツール
• YARA
  • オープンソースのマルウェア検出ツール

　「マルウェア」や「フィッシング」「ランサムウェア」（身代金要求型マルウェア）といったよく使われるセキュリティ用語に関する理解も不足していると、Kaspersky Labは指摘する。

　Kaspersky Labの英国・アイルランド担当地域マネジャーであるスチュワート・ピーターズ氏は、「専門用語や略語は専門家にとっては便利な言葉だが、それ以外の人にとっては混乱の元となる」と言う。企業の経営幹部は脅威について十分に理解していないため、セキュリティの優先度が分からず、具体策を軽視しかねないと同氏は懸念する。

---

　中編は、セキュリティ用語が本来の目的とは反対の影響を生んでしまう「逆効果」を取り上げる。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。