Day 69 脅威の現実に防御を合わせる Aligning Defense with Threat Reality
脅威の現実に防御を合わせる
文脈がすべてを決める
最近、こんな質問を受けた。
「これまでで、一番"えっ"と驚いた瞬間は何ですか?」
海外で暮らしていると、驚きは日常の一部になる。でも、本当に驚くのは、派手な出来事そのものではない。自分が立っている場所によって、世界がまったく違うルールで動いている。その事実だ。
ウィーン:消えた携帯
ウィーンのマクドナルドでのこと。テーブルに携帯を置き、ゴミを捨てるために、ほんの5秒ほど目を離した。振り返ったとき、携帯は消えていた。
誰もいない。
何も起きていない。
ただ、私が見ていなかったその5秒で、携帯は存在しなくなった。
日本:戻ってきた携帯
日本での出来事だ。
娘がダイソーのトイレに携帯を置き忘れた。
15分後に気づき、慌てて戻った。
最悪の事態を覚悟していた。でも、戻ってみると、誰かが拾い、店員に届けてくれていた。携帯は、そのまま無事に戻ってきた。
ケニア:デスクトップのリクエスト
ケニアでセキュリティ対策をしていたとき、同僚から、少し意外なリクエストを受けた。
「ノートPCじゃなくて、デスクトップにしてもらえませんか?」
理由を聞くと、こう返ってきた。
「通勤のバスで、ノートPCは盗まれるんです。デスクトップなら、重すぎて持っていけない。オフィスに常においた状態になる。」
日本、再び:開かれた電車
東京のラッシュアワーの電車に乗ってみてほしい。
スマホを出し、ラップトップを開き、機密文書を扱い、パスワードを入力し、銀行口座を確認している人たちがいる。
数十人の見知らぬ人が肩を寄せ合う、その空間で。誰も、気にしない。
銀座とシャンゼリゼ
銀座では、人々はデザイナーバッグを持ち歩く。価値を示すように。
高級品は、見せるもの。祝福されるもの。むしろ、期待されているものだ。
一方で、パリのシャンゼリゼを歩いていた頃の私は違った。
スーパーのビニール袋を持ち、化粧は控えめ。意図的に、地味な格好をしていた。
なぜなら、盗む価値がないように見えることが、最良の防御になる。そう学んでいたからだ。
これがセキュリティにとって意味すること
これらは、単なる文化的な逸話ではない。セキュリティについての、根本的な真実を示している。
脅威は、文脈によって変わる。
防御も、そうでなければならない。
同じ行動、携帯を見える場所に置く、でも、ウィーン、東京、ナイロビでは、まったく異なるリスクプロファイルを持つ。
同じ資産、ラップトップ、でも、ある文脈では標的になり、別の文脈では当たり前のものになる。
サイバーセキュリティも、まったく同じように機能する。
昨日、私たちは STRIDE を標準プラクティスとして組み込んだ。6つの扉を通り、15分で脅威を洗い出す方法。チーム全体に、共通言語をもたらした。なりすまし。改ざん。否認。情報漏洩。サービス妨害。特権昇格。
STRIDEは、「どんな脅威が存在するか」を教えてくれる。でも、「どの脅威が最も重要か」「限られた防御を、どこに投資すべきか」までは答えてくれない。
そこで必要になるのが、脅威プロファイリングだ。
不都合な真実
率直に言おう。
すべてを守ることはできない。
- 時間は限られている。
セキュリティレビューには何時間もかかる。
ペネトレーションテストには何日もかかる。
インシデント対応には何週間もかかる。 - 予算は限られている。
コントロールにはコストがかかる。
ツールにも、専門家の時間にもコストがかかる。 - 人材は限られている。
セキュリティエンジニア、安全なコーディングを理解する開発者、レビューと対応の能力。すべて有限だ。
一方で、攻撃者はしばしば、私たちより多くのリソースを持っている。
- 組織犯罪グループは、カスタムマルウェアと偵察に数百万ドルを投資する。
- 国家主体のアクターは、数千人規模で、複数年のキャンペーンを展開する。
- スクリプトキディでさえ、毎日数百万のターゲットをスキャンする自動化ツールを使える。
私たちは、非対称なゲームをプレイしている。この現実を否定しても、消えはしない。ただ、より効果的でなくなるだけだ。だからこそ、「身の丈にあった」セキュリティ対策をする。そしてその「身の丈」を知ること自体が、とても重要だ。
この現実を、私が初めて身に染みて理解した瞬間がある。
それは、国と国のサイバーの争いに巻き込まれ、私が勤めていた組織が、踏み台として使われ、情報を抜き取られたインシデントだった。
それは、実際の戦争ではない。けれど、戦争だった。
あのとき私は、文字通り、裸一貫だった。
相手は、何万人もの攻撃者。連なる戦車。頭上を覆う戦闘機。そんな光景が、現実として迫ってくる。
防御を選ぶ余裕も、理想を語る時間もなかった。
ただ必死に、目の前で燃え広がる現実と向き合い、守れるものを、必死に守ろうとした。
あの瞬間、私は知った。
「すべてを守る」という言葉は、戦場では意味を持たない。
あるのは、何を守るか。
何を、いま捨てるか。
そして、どこに立って戦うかだけだ。
それが、私が学んだ現実だ。
この現実を前にして、私たちは問いを突きつけられる。
何ができるのか?
すべてを守ることは、不可能だ。
だが、何も守らないという選択肢も、存在しない。
だから、私たちは選ばなければならない。
場所に合わない高級時計を外すように。
危険な通りでは、歩き方を変えるように。
脅威の現実に、防御を合わせる。
完璧さではなく、判断を。
網羅ではなく、優先順位を。
失敗のパターン
現実世界で、セキュリティが失敗する仕組みを見てみよう。
すべてを、同じ方法で守ろうとする。
- すべてのシステムに、同じプロセス。
- すべてのデータに、同じコントロール。
- すべてのアプリケーションに、同じレビュー。
結果はどうなるか。
- 重要なシステムが十分に守られない。リソースを薄く広げすぎるから。
- 低リスクのシステムが過剰に保護される。考えずに一律のポリシーを適用するから。
- ボトルネックが生まれる。小さな変更でも、重量級の承認が必要になるから。
- チームが疲弊する。プロセスが苦痛で、本当のリスクとのつながりが見えなくなるから。
一方、攻撃者はすべてのターゲットを平等には扱わない。彼らは優先順位をつけ、投資対効果を計算する。
「最小の労力で、最大の価値を得られるのはどこか?」
私たちも、同じように考えるべきだ。
誤解してほしくないこと
明確にしておこう。
私は、低リスクのシステムを無防備にしろと言っているのではない。
私が言っているのは、こういうことだ。
- どこにでもベースライン防御を提供する。
認証、ログ記録、パッチ適用、アクセス制御。すべてのシステムに、基本的な衛生管理は必要だ。 - 脅威が現実である場所に、より深い防御を提供する。
決済データ、PII、重要インフラを扱うシステムには、多層防御、24時間365日の監視、レッドチーム演習、インシデント対応の準備が必要だ。
これは、システムを放棄することではない。防御を、現実に合わせることだ。
なぜ脅威プロファイリングか?
STRIDEで脅威を特定したあと、私たちは、次の問いを投げなければならない。
1.誰が、このシステムを攻撃するのか?
- 退屈なティーンエイジャーか
- 金銭目的の組織犯罪グループか
- スパイ活動を行う国家主体か
2. なぜ、攻撃するのか?
- お金
- データ
- 妨害
- 評判
3.どれほど有能か?
- 既知の脆弱性を悪用できるか
- カスタムエクスプロイトを作れるか
- ゼロデイを開発できるか
- 複数年のキャンペーンを維持できるか
4. どれだけのリソースを持っているか?
- 数時間と無料ツール
- 数週間と中程度の予算
- 数百万ドルと数ヶ月〜数年
- 無制限の国家支援
この4つの問いが、どれだけ防御する必要があるかを決める。
場所は脅威を映す
冒頭の逸話を思い出してほしい。
- ウィーンでは、5秒でも携帯を見える場所に置くべきではなかった。
- 東京では、公共トイレに置き忘れても、戻ってくる可能性があった。
- ナイロビでは、バスでラップトップを持つこと自体がリスクだった。
- 東京の電車では、ラップトップで作業するのは日常だ。
- パリでは、富を示すことがターゲットを増やす。
資産は変わらない。変わるのは、脅威環境だ。
デジタルの世界も、同じだ。
- 公開されたECサイトは、常に自動化攻撃を受けている。犯罪率の高い地域で、デザイナーバッグを持つようなもの。
- MFA付きVPNの背後にある内部HRツールは、露出が少ない。鍵のかかったオフィスのキャビネットのようなもの。
同じデータ。異なる脅威プロファイル。
脅威は異なる。攻撃者は異なる。リソースは限られている。
防御は、現実に合わせなければならない。
今日、なぜ脅威プロファイリングが不可欠なのかを理解した。
明日は、方法論へ。
―――
Aligning Defense with Threat Reality
When Context Shapes Everything
Someone asked me recently, "What was your most surprising moment?"
Living abroad, I've learned that surprise is a daily companion. But what surprises me most isn't the spectacular -- it's how differently the world works depending on where you stand.
Vienna: The Vanishing Phone
I was at a McDonald's in Vienna. I set my phone on the table, looked away for maybe five seconds to toss something in the trash. When I turned back, it was gone. Just... gone. No one nearby. No commotion. The phone simply ceased to exist in the moment my attention left it.
Japan: The Returned Phone
My daughter left her phone in a DAISO restroom in Japan. We realized it fifteen minutes later and rushed back, expecting the worst. But when we arrived, someone picked it up and handed it to the staff. It was waiting for us, safe and sound.
Kenya: The Desktop Request
When I was working on security implementations in Kenya, a colleague made an unusual request: "Can we get desktop computers instead of laptops?"
I asked why.
"Because on the bus during commute, they steal laptops. A desktop is too heavy to take."
Japan Again: The Open Train
Ride any train in Tokyo during rush hour. You'll see people with their phones out, laptops open, working on sensitive documents, entering passwords, checking bank accounts, all in full view of dozens of strangers pressed shoulder-to-shoulder.
No one thinks twice about it.
Ginza and the Champs-Élysées
In Ginza, people carry designer bags that announce their value. Luxury is displayed, celebrated, almost expected.
I remember walking down the Champs-Élysées in Paris. I carried a plastic supermarket bag. I wore minimal makeup. I dressed down deliberately. Because I'd learned, looking like you have nothing worth stealing is sometimes the best defense.
What This Means for Security
These moments aren't just cultural anecdotes. They illustrate a fundamental truth about security:
Threat is contextual. Defense must be too.
The same behavior -- leaving a phone visible -- has vastly different risk profiles in Vienna, Tokyo, and Nairobi. The same asset -- a laptop -- is a target in one context and unremarkable in another.
Digital security works the same way.
Yesterday, we embedded STRIDE as a standard practice. We learned to walk through six doors to identify threats in 15 minutes. We gave our teams a shared language: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege.
But STRIDE answers what threats exist. It doesn't answer which threats matter most, or where to invest our limited defenses.
That's where threat profiling comes in.
The Uncomfortable Truth
Let me be blunt: we cannot protect everything.
- Time is limited. Security reviews take hours. Penetration tests take days. Incident response takes weeks.
- Budget is limited. Every control we deploy costs money. Every tool cost money. Every hour of expert time costs money.
- People are limited. We have finite security engineers, finite developers who understand secure coding, and finite capacity to review and respond.
Meanwhile, attackers often have more resources than we do:
- Organized crime groups invest millions into custom malware and reconnaissance.
- Nation-state actors deploy thousands of people on multi-year campaigns.
- Even script kiddies have access to automated tools that scan millions of targets daily.
We're playing an asymmetric game. Denying this reality doesn't make it go away it just makes us less effective.
The Failure Pattern
Here's how security fails in the real world:
We try to protect everything the same way:
- Every system gets the same process.
- Every dataset gets the same controls.
- Every application gets the same review.
The result?
- Critical systems don't get enough protectionbecause we're spreading resources too thin.
- Low-risk systems get over-protectedbecause we apply blanket policies without thinking.
- Bottlenecks formbecause every change, no matter how minor, goes through the same heavyweight approval process.
- Teams burn outbecause the process is exhausting and feel disconnected from real risk.
Meanwhile, attackers don't treat all targets equally. They prioritize. They calculate return on investment. They ask: "Which target gives me the most value for the least effort?"
We should think the same way.
What I'm NOT Saying
Let me be clear: I'm not saying we should leave low-risk systems completely undefended.
What I am saying:
- Provide baseline protection everywhere.Every system should have basic hygiene: authentication, logging, patching, access control.
- Provide deeper protection where threats are real.Systems that handle payment data, PII, or critical infrastructure need defense-in-depth, 24/7 monitoring, red team exercises, and incident response readiness.
This isn't about abandoning systems. It's about matching defense to reality.
Why Threat Profiling?
After we identify threats with STRIDE, we need to ask:
- Who is attacking this system?
- A bored teenager with automated tools?
- An organized crime group seeking financial gain?
- A nation-state actor conducting espionage?
- Why are they attacking?
- For money?
- For data?
- For disruption?
- For reputation?
- How capable are they?
- Can they exploit known vulnerabilities?
- Can they craft custom exploits?
- Can they develop zero-days?
- Can they sustain multi-year campaigns?
- How many resources do they have?
- A few hours and free tools?
- Weeks of time and moderate budget?
- Months or years with millions of dollars?
- Unlimited state-backed resources?
These four questions determine how much we need to defend.
Location Mirrors Threat
Think back to the anecdotes at the start:
- In Vienna, I should never have left my phone visible -- even for five seconds. High opportunistic theft risk.
- In Tokyo, my daughter could leave her phone in a public restroom and expect it back. Low opportunistic theft risk.
- In Nairobi, carrying a laptop on a bus is asking for trouble. High targeted theft risk.
- On a Tokyo train, working on a laptop is normal.
- In Paris, displaying wealth increases targeting. Risk mitigation through low-value appearance.
The asset (phone, laptop) didn't change. The threat environment did.
Digital systems work identically:
- A public-facing e-commerce siteis under constant automated attack. (Like carrying a designer bag in a high-crime area.)
- An internal HR toolbehind a VPN with MFA is much less exposed. (Like a locked filing cabinet in a secured office.)
Same data type, different threat profile.
Today, we established why threat profiling is essential. Threats vary. Attackers vary. Resources are limited. Defense must match reality.
Tomorrow, we'll move to methodology.
References will be added at the end of the series.
参考文献・出典は、このシリーズの最後に一覧としてまとめます。