RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

Day 77 脅威プロファイルからセキュリティ保証レベルへ From Threat Profile to Security Assurance Level

»

脅威プロファイルからセキュリティ保証レベルへ

前提知識: 脅威モデリングの基礎知識(必要に応じて Day 68 からお読みください)

u5292553157_Make_an_illustration_of_different_animals_sourrou_aebfb3e1-fd31-46c9-8af9-a9ecc377b028_2.png

最終ステップ:防御を敵対者に合わせる

68日目から75日目にかけて、脅威プロファイルを構築してきました:

  • 誰が攻撃するのか:脅威アクター(Day 70)
  • どのように攻撃するのか:MOM分析(Day 68-71)
  • なぜ攻撃するのか:意図、前例、リソース - IRP(Day 72)
  • どの程度の可能性か:可能性評価(Day 73-74)
  • どれほど深刻か:影響の定量化(Day 75-76)

今日のテーマは脅威プロファイルを比例的な防御戦略にどう変換するのか?

その答えは「セキュリティ保証レベル」

核心的な問題

すべてを防御することはできない。リソースは有限である。

多くの組織が犯す過ちー

深刻な脅威に対して防御が不十分か、些細な脅威に対して過剰防御するかのどちらか

公開eコマースサイトをスクリプトキディから守る場合と、機密システムを国家レベルの攻撃者から守る場合では、防御態勢が異なる。

しかし、問題があるー脅威プロファイルは防御しない

必要なのは変換メカニズムー脅威インテリジェンスを防御戦略に変換する方法だ。

既存フレームワークが不十分な理由

従来のフレームワークは異なる問いに答える:

  • ISO/IEC 15408:この製品は仕様を満たしているか?(製品テスト)
  • NIST FIPS 199:失敗した場合の損害はどの程度か?(影響の分類)
  • ISO 27001:リスク管理プロセスはあるか?(プロセス認証)
  • CIS Controls:何を実装すべきか?(セーフガードカタログ)

誰も答えない問い。

「誰が攻撃し、何を失うかを考えると、どれだけ強固に防御すべきか?

この空白を埋めるのがセキュリティ保証レベルです。

セキュリティ保証レベルとは何か?

定義

セキュリティ保証レベル:

脅威アクターの能力と潜在的影響を照合して決定される、許容可能なリスクを達成するために必要な防御の厳格さの強度。

平易な言葉で言えば:

誰があなたを攻撃し、何を失うかに基づいて必要な防御レベル。

これこそが、今まで築いてきた脅威プロファイルを実行可能な防御戦略に変換するものです。

セキュリティ保証レベル:3つの基本原則

  1. 比例的防御(Proportional Defense)- 「身の丈にあった」防衛

予算やセキュリティ投資は、脅威の深刻度に比例すべきである。アマチュアからウェブサイトを守る場合と、APTから重要インフラを守る場合では、求められる防御レベルは根本的に異なる。

  1. 敵対者・攻撃者中心型(Adversary-Centric

真の防衛は、攻撃者を理解することから始まる。それには以下の理解が不可欠である。

  • 攻撃者の能力(Day 71:MOM)
  • 攻撃者の動機・意図(Day 72:IRP)
  • 攻撃の高度さと持続性

同じ製品・同じ対策であっても、攻撃者が異なれば、必要な保証レベルは異なる。

  1. 影響較正型(Impact-Calibrated Assurance

保証レベルは、Day 74-75 で定量化した 5つのインパクト次元 に基づいて動的に拡張・調整されなければならない。

  • 財務的インパクト
  • レピュテーション・インパクト
  • 業務インパクト
  • 法的・規制インパクト
  • 人的インパクト

結果の深刻度が大きいほど、要求される保証レベルも高くなる。

ひとことで言うと

セキュリティ保証レベルとは、誰に狙われ、何を失う可能性があるのかを起点に、投資・設計・運用の「強さ」を決めるための原則である。

4つのセキュリティ保証レベル

これらを、MOM + IRPフレームワークに直接マッピングされる脅威階層として考える。

例えば、

※以下は一例です。実際には、各組織の事業内容・規模・規制要件等に応じて調整してください。

レベル1:

脅威アクター:

  • 偶発的または偶然的な違反
  • 意図的でない内部脅威
  • 非専門的ハッカー
  • パートナー、ベンダー、サプライヤー(偶発的露出)

MOM + IRPプロファイル:

  • 手段: 非意図的またはアマチュア
  • 機会: 特別なアクセス不要
  • 動機: 非常に低い(エラー、ミス)
  • リソース: 個人
  • スキル: 攻撃スキルなし

例: 従業員が誤って顧客リストを間違ったアドレスにメール送信。パートナーがクラウドストレージを公開に誤設定。

可能性:低(1-3) | 影響:低から中

防御態勢:基本的な衛生管理

  • 標準的な認証
  • 基本的なアクセス制御
  • データ取り扱いに関するユーザートレーニング
  • シンプルな監視

対応する標準:CIS IG1、ISO 27001低リスク、NIST低影響ベースライン

ここに過剰投資しない。これらの脅威はAPTレベルの防御を正当化しない。

レベル2:低-

脅威アクター:

  • 組織化されていないサイバー犯罪
  • 意図的な内部脅威
  • 個人の専門的ハッカー
  • ハクティビスト、テロリスト

MOM + IRPプロファイル:

  • 手段: シンプルから汎用ツール
  • 機会: 公開されているエクスプロイト
  • 動機: 低から中程度(金銭的利益、イデオロギー)
  • リソース: 低(孤立した個人)
  • スキル: 汎用的な攻撃スキル

例: 不満を持つ従業員がデータを持ち出し。既知のCVEを使った日和見的なランサムウェア。パッチ未適用のWordPressを悪用する個人ハッカー。

可能性:低-中(3-5) | 影響:中から高

防御態勢:標準的なセキュリティ制御

  • 多要素認証
  • パッチ管理
  • EDR、SIEM
  • 定期的な脆弱性スキャン

対応する標準:CIS IG2、ISO 27001中リスク、NIST中影響ベースライン

ここが多くの中小企業が目指すべきところ。費用対効果が高く、攻撃の90%をブロックする。

レベル3:高-

脅威アクター:

  • 組織化されたサイバー犯罪
  • 高度なハクティビスト
  • 国家支援グループ(下位層)

MOM + IRPプロファイル:

  • 手段: 高度な攻撃
  • 機会: カスタムエクスプロイト、ソーシャルエンジニアリングキャンペーン
  • 動機: 中から高(スパイ活動、金銭的利益)
  • リソース: 中程度(ハッカーグループ)、十分な資金
  • スキル: 特定の標的型技術

例: 金融機関を標的とする組織犯罪シンジケート。スパイ活動を行うAPTグループ。RaaS事業者。

可能性:中-高(5-7) | 影響:高から非常に高

防御態勢:高度なセキュリティオペレーション

  • ゼロトラストアーキテクチャ
  • 脅威ハンティングチーム
  • デセプション技術
  • 高度な脅威インテリジェンス
  • インシデント対応リテーナー
  • レッドチーム演習

対応する標準:CIS IG3、ISO 27001高リスク、NIST高影響ベースライン

エンタープライズグレードのセキュリティ。金融サービス、医療、重要インフラ向け。

レベル4:

脅威アクター:

  • 国家レベルの敵対者
  • 高度持続的脅威(APT)

MOM + IRPプロファイル:

  • 手段: 高度なキャンペーン(多段階、持続的)
  • 機会: ゼロデイ、サプライチェーン侵害
  • 動機: 高(サイバー戦争、戦略的スパイ活動)
  • リソース: 広範(学際的チーム)、潤沢な資金、大規模チーム
  • スキル: 最先端技術

例: 防衛関連請負業者を標的とする某国のAPT。エネルギーインフラを侵害する某国の国家アクター。暗号通貨取引所を標的とする某国のハッカー。

可能性:文脈依存(ほとんどの組織では低、戦略的標的では高) | 影響:クリティカル(存続に関わる脅威)

防御態勢:軍事グレードのセキュリティ

  • エアギャップシステム
  • 24時間365日SOC
  • 侵害前提の態勢
  • 攻撃的対抗措置
  • 機密脅威インテリジェンス
  • ハードウェアセキュリティモジュール(HSM)

対応する標準:民間標準を超える;軍事/機密要件

政府/防衛レベルのセキュリティ。ほとんどの組織はこの脅威レベルに直面しない。

脅威プロファイルを保証レベルにマッピングする

必要な保証レベルを決定する方法は以下の通り:

ステップ1:主要な脅威アクターを特定する(Day 70詳細記載)

問い:「現実的に誰が私たちを攻撃する動機を持っているか?」

例えば、

  • 中小企業のウェブサイト? レベル1-2
  • 地域銀行? レベル2-3
  • 防衛関連請負業者? レベル3-4
  • 原子力施設? レベル4

ステップ2:MOM + IRP分析を適用する(Day 71-72詳細記載)

  • どのような手段を持っているか?
  • どのような機会があるか?
  • 動機は何か?
  • どのようなリソースを展開できるか?
  • どのような前例が存在するか?

これらを上記の保証レベルの説明に照合する。

ステップ3:可能性を計算する(Day 73-74詳細記載)

OWASP可能性算式:脅威エージェント要因 × 脆弱性要因 = 可能性

可能性が高-非常に高の場合 → 保証レベルの引き上げを検討。

ステップ4:影響を評価する(Day 74-75詳細記載)

5つの次元: 財務的、評判的、事業的、法的、人的

影響がクリティカルの場合 → 可能性が低くても高い保証レベルが必要な場合がある。

ステップ5: 必要な保証レベルを決定する

決定マトリックス:

可能性 影響:低 影響:中 影響:高 影響:クリティカル
レベル1 レベル1-2 レベル2 レベル2-3
レベル1-2 レベル2 レベル2-3 レベル3
レベル2 レベル2-3 レベル3 レベル3-4
非常に高 レベル2-3 レベル3 レベル3-4 レベル4

ケーススタディ:地域医療機関

脅威アクタープロファイル

主要な脅威:

  • 日和見的なランサムウェアギャング(レベル2)
  • 医療データを標的とする組織的サイバー犯罪(レベル3)
  • 低可能性:国家レベルのスパイ活動(レベル4)

MOM + IRP分析

  • 手段:シンプル(ランサムウェア)から高度(APT)
  • 機会:公開患者ポータル、サプライチェーン
  • 動機:金銭的利益、スパイ活動
  • 意図:金銭恐喝、データ窃取
  • リソース:中程度(組織犯罪グループ)
  • 前例:強い(医療セクターは2023-2026年に集中的に標的とされている)

可能性の計算

  • 脅威エージェント:スキル(6) + 動機(8) + 機会(7) + 規模(5) = 5(中-高)
  • 脆弱性:発見(7) + エクスプロイト(6) + 認知(9) + 検知(5) = 75(高)
  • 全体的可能性:6.6(高)

影響評価

  • 財務的:1億円以上(業務停止・復旧等) → 非常に高
  • 評判的:患者の信頼崩壊 → クリティカル
  • 事業的:患者流出40% → 非常に高
  • 法的:集団訴訟 → 高
  • 人的:診療中断による死亡2件 → クリティカル

全体的影響:クリティカル(最高次元)

セキュリティ保証レベルの決定

決定マトリックスを使用:

  • 可能性:高(6.6)
  • 影響:クリティカル
  • 必要な保証レベル:3-4(高-中から高)

防衛戦略

実装必須項目:

  • 患者データアクセスのためのゼロトラストアーキテクチャ
  • 医療特化型脅威インテリジェンスを備えた24時間365日SOC
  • ランサムウェア特化型防御(攻撃耐性バックアップ、ネットワークセグメンテーション)
  • 全エンドポイントに高度なEDR
  • 年次レッドチーム侵入テスト
  • 医療経験のあるインシデント対応リテーナー
  • サイバー保険(5億円以上の補償)

コスト:年間収益の約3-5% | ROI:1億円レベルの侵害インシデント1件の回避

AIが保証レベルに与える影響

AIは全レベルでゲームを変える:

レベル1-2の脅威がレベル3の能力を持つように

  • スクリプトキディがChatGPTを使ってエクスプロイトを作成
  • アマチュア攻撃者が偵察を自動化
  • 汎用攻撃がAIパーソナライゼーションで標的型に

示唆: 最低限の有効なセキュリティは今やレベル2。2026年ではレベル1の防御では不十分。

レベル3-4の脅威がより速く、よりステルスに

  • APTの潜伏時間が数ヶ月から数週間に短縮
  • AI駆動の横方向移動
  • 大規模なディープフェイクソーシャルエンジニアリング

示唆: レベル3はAI駆動の防御ツールを含む必要がある。人間のSOCアナリストでは追いつけない。

よくある勘違い

勘違い1:昨日の脅威に対して防御 2026年に2019年の保証レベルを使用。AIがすべてを変えた。年次で再評価すること。

勘違い2:画一的な防御態勢 レベル1の脅威にレベル4の制御を適用すると資金を無駄にする。レベル3の脅威にレベル1の制御を適用すると災害を招く。

勘違い3:前例を無視する 「私たちは一度も攻撃されたことがないから、リスクは低い」。違う。あなたの業界が攻撃を受けている場合(Day 72参照)、次はあなただ。

勘違い4:コンプライアンスとセキュリティを混同する 「私たちはISO準拠だから安全だ」。コンプライアンスは最低限のベースライン。実際の脅威レベルを判断し、それに応じて防御すること。

おさらい

セキュリティ保証レベルは、脅威インテリジェンスを実行可能な防御戦略に変換する。

重要な原則:比例的防御(Proportional Defense)―「身の丈にあった」防衛

セキュリティ投資は、敵対者の高度さに合わせて設計されなければならない。

  • レベル1の脅威は、レベル4の防御を正当化しない。― それは過剰防御であり、資源の浪費である。
  • レベル4の脅威は、レベル1の防御を確実に破壊する。― それは防御ではなく、幻想だ。

敵を知れ。そして、それに応じて防御せよ。

セキュリティは、強さの競争ではない。しなやかさ(レジリエンス)と適合の技である。

長く、必要な回り道

私たちは、脅威モデリングとリスク評価への深い探求を行ってきました。
それは濃密で、困難で、決して楽な道ではありませんでした。
しかし、必要な回り道でした。なぜなら、理解していないものは、守れないからです。

STRIDE(Day 68)は、「何が存在するのか」を私たちに示してくれました。しかし、それだけでは十分ではありませんでした。

私たちは、さらに知る必要がありました。

  • 誰がそれらの脅威を生み出すのか(脅威アクター)
  • どのように彼らが行動するのか(MOM分析)
  • なぜ私たちを標的とするのか(IRPフレームワーク)
  • どの程度の確率で起こり得るのか(定量的評価)
  • どれほどの損害をもたらすのか(影響の定量化)
  • どの防御レベルが必要なのか(保証レベル)

今、私たちは全体像を手にしています。そして今、私たちはやみくもではなく知的に防衛することができます

当初、私はこのまま元のメインパス(Day 68)へ戻るつもりでした。しかし、このシリーズを書き進める中で、ひとつの重要なことに気づきました。

前に進む前に、私たちは一歩、下がる必要がある。

まず取り組むべき、より深い問いがあります。それは、補足ではなく、それ自体が一つの探求に値する問いです。

そこで私は、メインパスを一時停止し、次の数日間を、基礎そのものを見つめ直す時間に充てることにしました。

  • サイバーセキュリティとは、本当に何を意味するのか。
  • そして今日の世界において、サイバーセキュリティ・リスク管理とは、実際に何を意味するのか。

これらの定義を明確にしたうえで、私たちは再びDay 68 の 分岐点へ戻ります。

―より強く、
―より鋭く、
―そして、より整合性をもって。

また明日。

-----------------

From Threat Profile to Security Assurance Level

u5292553157_Make_an_illustration_of_different_animals_sourrou_aebfb3e1-fd31-46c9-8af9-a9ecc377b028_2.png

The Final Step: Matching Defense to Adversary

We've built a complete threat profile over Days 69-75:

  • Who attacks: Threat actors (Day 70)
  • How they attack: MOM analysis (Days 67- 71)
  • Why they attack: Intent, Precedence, Resources - IRP (Day 72)
  • How likely: Likelihood assessment (Days 73-74)
  • How bad: Impact quantification (Days 75-76)

Today: How do we translate threat profiles into proportional defense strategies?

The answer: Security Assurance Levels

The Core Problem

You can't defend against everything. Resources are finite.

The mistake most organizations make: either under-defending against serious threats or over-defending against trivial ones.

Securing a public e-commerce site against script kiddies? Different posture than defending classified systems against nation-states.

But here's the issue: Threat profiles don't defend systems. You need a translation mechanism--a way to convert threat intelligence into defensive strategy.

Why Existing Frameworks Fall Short

Traditional frameworks answer different questions:

  • ISO/IEC 15408: Does this product meet specifications? (Product testing)
  • NIST FIPS 199: How bad is the damage? (Impact categorization)
  • ISO 27001: Do we have a risk process? (Process certification)
  • CIS Controls: What should we implement? (Safeguard catalog)

None answer: "Given who's attacking us and what we stand to lose, how hard must we defend?"

That's the gap Security Assurance Levels fill.

What is a Security Assurance Level?

Definition

Security Assurance Level: The intensity of defensive rigor required to achieve acceptable risk, determined by matching threat actor capabilities against potential impact.

In plain English: The level of defense you need based on who's attacking you and what you stand to lose.

This is where your threat profile from Days 66-76 becomes actionable defense strategy.

Three Core Principles

  1. Proportional Defense
    Spending should match threat severity. Defending a simple website against amateurs ≠ defending critical infrastructure against APTs.
  2. Adversary-Centric
    Real defense requires understanding adversary capabilities (Day 71 MOM), motivation (Day 72 IRP), and sophistication. Same product, different adversaries = different required assurance level.
  3. Impact-Calibrated
    Your assurance level must scale with consequence severity across the five dimensions from Days 75-76: financial, reputational, operational, legal, human.

Four Security Assurance Levels

Think of these as threat tiers that map directly to your MOM + IRP framework:

Level 1: Low

Threat Actors:

  • Casual violations, unintentional insiders
  • Non-professional hackers
  • Partners/vendors (accidental exposure)

MOM + IRP Profile:

  • Means: Non-intentional or amateur
  • Opportunity: No special access needed
  • Motive: Very low (error, mistake)
  • Resources: Individual
  • Skills: No attack skills

Example: Employee accidentally emails customer list. Partner misconfigures cloud storage to public.

Likelihood: Low (1-3) | Impact: Low to Medium

Defense Posture: Basic hygiene

  • Standard authentication
  • Basic access controls
  • User training
  • Simple monitoring

Maps to: CIS IG1, ISO 27001 low-risk, NIST Low-impact baseline

Don't over-invest here. These threats don't justify APT-level defenses.

Level 2: Low-Medium

Threat Actors:

  • Non-organized cybercrime
  • Intentional insider threats
  • Individual professional hackers
  • Hacktivists, terrorists

MOM + IRP Profile:

  • Means: Simple to generic tools
  • Opportunity: Publicly available exploits
  • Motive: Low to moderate (financial, ideology)
  • Resources: Low (isolated individual)
  • Skills: Generic attack skills

Example: Disgruntled employee exfiltrates data. Opportunistic ransomware using known CVEs. Hacker exploiting unpatched WordPress.

Likelihood: Low-Medium (3-5) | Impact: Medium to High

Defense Posture: Standard security controls

  • Multi-factor authentication
  • Patch management
  • EDR, SIEM
  • Regular vulnerability scanning

Maps to: CIS IG2, ISO 27001 moderate-risk, NIST Moderate-impact baseline

This is where most SMBs should be. Cost-effective, blocks 90% of attacks.

Level 3: High-Medium

Threat Actors:

  • Organized cybercrime
  • Advanced hacktivists
  • State-sponsored groups (lower tier)

MOM + IRP Profile:

  • Means: Sophisticated attacks
  • Opportunity: Custom exploits, social engineering campaigns
  • Motive: Moderate to high (espionage, financial)
  • Resources: Moderate (hacker groups), sufficiently funded
  • Skills: Specific, targeted techniques

Example: Organized crime targeting financial institutions. APT groups conducting espionage. RaaS operators.

Likelihood: Medium-High (5-7) | Impact: High to Very High

Defense Posture: Advanced security operations

  • Zero-trust architecture
  • Threat hunting teams
  • Deception technology
  • Advanced threat intelligence
  • Incident response retainer
  • Red team exercises

Maps to: CIS IG3, ISO 27001 high-risk, NIST High-impact baseline

Enterprise-grade security. Financial services, healthcare, critical infrastructure.

Level 4: High

Threat Actors:

  • Nation-state adversaries
  • Advanced Persistent Threats (APTs)

MOM + IRP Profile:

  • Means: Sophisticated campaigns (multi-stage, persistent)
  • Opportunity: Zero-days, supply chain compromise
  • Motive: High (cyber warfare, strategic espionage)
  • Resources: Extended (multi-disciplinary teams), well-funded, large teams
  • Skills: Cutting-edge techniques

Example: Chinese APT targeting defense contractors. Russian state actors compromising energy infrastructure. North Korean hackers targeting crypto exchanges.

Likelihood: Context-dependent (low for most, high for strategic targets) | Impact: Critical (existential threat)

Defense Posture: Military-grade security

  • Air-gapped systems
  • 24/7/365 SOC
  • Assume breach posture
  • Offensive countermeasures
  • Classified threat intelligence
  • Hardware security modules (HSMs)

Maps to: Beyond civilian standards; military/classified requirements

Government/defense-level security. Most organizations will never face this threat level.

Mapping Your Threat Profile to Assurance Level

Here's how to determine your required assurance level:

Step 1: Identify Primary Threat Actors (Day 70)

Ask: "Who is realistically motivated to attack us?"

  • Small business website? Level 1-2
  • Regional bank? Level 2-3
  • Defense contractor? Level 3-4
  • Nuclear facility? Level 4

Step 2: Apply MOM + IRP Analysis (Days 71-72)

  • What Means do they possess?
  • What Opportunity do they have?
  • What's their Motive?
  • What Resources can they deploy?
  • What Precedence exists?

Match these to the assurance level descriptions above.

Step 3: Calculate Likelihood (Days 73-74)

OWASP likelihood formula: Threat Agent Factors × Vulnerability Factors = Likelihood

If likelihood is High-Very High → Consider increasing assurance level.

Step 4: Assess Impact (Days 75-76)

Five dimensions: Financial, Reputational, Business, Legal, Human

If impact is Critical → May warrant higher assurance level even with lower likelihood.

Step 5: Determine Required Assurance Level

Decision Matrix:

Likelihood Impact: Low Impact: Medium Impact: High Impact: Critical
Low Level 1 Level 1-2 Level 2 Level 2-3
Medium Level 1-2 Level 2 Level 2-3 Level 3
High Level 2 Level 2-3 Level 3 Level 3-4
Very High Level 2-3 Level 3 Level 3-4 Level 4

Integration Example: Regional Healthcare Provider

Threat Actor Profile

Primary threats:

  • Opportunistic ransomware gangs (Level 2)
  • Organized cybercrime targeting healthcare data (Level 3)
  • Low likelihood: Nation-state espionage (Level 4)

MOM + IRP Analysis

  • Means: Simple (ransomware) to Sophisticated (APT)
  • Opportunity: Public-facing patient portals, supply chain
  • Motive: Financial gain, espionage
  • Intent: Financial extortion, data theft
  • Resources: Moderate (organized crime groups)
  • Precedence: Strong (healthcare heavily targeted 2023-2026)

Likelihood Calculation

  • Threat Agent: Skill(6) + Motive(8) + Opportunity(7) + Size(5) = 5 (Medium-High)
  • Vulnerability: Discovery(7) + Exploit(6) + Awareness(9) + Detection(5) = 75 (High)
  • Overall Likelihood: 6.6 (HIGH)

Impact Assessment

  • Financial: $15M (HIPAA fines + recovery) → Very High
  • Reputational: Patient trust destroyed → Critical
  • Business: 40% patient churn → Very High
  • Legal: Class action lawsuits → High
  • Human: 2 deaths from disrupted care → CRITICAL

Overall Impact: CRITICAL (highest dimension)

Security Assurance Level Determination

Using decision matrix:

  • Likelihood: High (6.6)
  • Impact: Critical
  • Required Assurance Level: 3-4 (High-Medium to High)

Defense Strategy

Must implement:

  • Zero-trust architecture for patient data access
  • 24/7 SOC with healthcare-specific threat intelligence
  • Ransomware-specific defenses (immutable backups, network segmentation)
  • Advanced EDR on all endpoints
  • Annual red team penetration testing
  • Incident response retainer with healthcare experience
  • Cyber insurance ($25M+ coverage)

Cost: ~3-5% of annual revenue | ROI: Avoiding one $50M breach incident

AI Impact on Assurance Levels

AI changes the game across all levels:

Level 1-2 threats now have Level 3 capabilities

  • Script kiddies use ChatGPT to write exploits
  • Amateur attackers automate reconnaissance
  • Generic attacks become targeted via AI personalization

Implication: Minimum viable security is now Level 2. Level 1 defenses are insufficient in 2026.

Level 3-4 threats become faster and stealthier

  • APT dwell time reduced from months to weeks
  • AI-powered lateral movement
  • Deepfake social engineering at scale

Implication: Level 3 must include AI-powered defense tools. Human SOC analysts can't keep pace.

Common Mistakes

Mistake 1: Defending to yesterday's threats
Using 2019 assurance levels in 2026. AI changed everything. Reassess annually.

Mistake 2: Uniform defense posture
Applying Level 4 controls to Level 1 threats wastes money. Applying Level 1 controls to Level 3 threats invites disaster.

Mistake 3: Ignoring precedence
"We've never been attacked, so we're low risk." No. If your industry is under attack (Day 72 Precedence), you're next.

Mistake 4: Confusing compliance with security
"We're PCI DSS compliant, we're secure." Compliance is minimum baseline. Determine actual threat level, defend accordingly.

The Bottom Line

Security Assurance Levels translate threat intelligence into actionable defense strategy.

Key principle: Proportional defense. Match your security investment to the sophistication of your adversaries.

  • Level 1 threats don't justify Level 4 defenses.
  • Level 4 threats will obliterate Level 1 defenses.

Know your enemy. Defend accordingly.

A Long and Necessary Detour

We took a 10-day deep dive (Days 69-76) into threat modeling and risk assessment. It was intense. It was difficult. But it was necessary.

Why? Because we can't defend what we don't understand.

STRIDE (Day 68) showed us what threats exist. But that wasn't enough. We needed to know:

  • Who creates those threats (threat actors)
  • How they operate (MOM analysis)
  • Why they target us (IRP framework)
  • How likely they are (quantitative assessment)
  • How much damage they cause (impact quantification)
  • What defense level we need (assurance levels)

Now we have the complete picture.

And now, we can defend--intelligently.

Originally, I planned to return to the main path (Day 68). But while writing this series, I realized something important. Before we move forward, we need to step back.

There is a deeper question we must address first--one that deserves its own focused exploration. So I've decided to pause the main path and spend the next several days revisiting the very foundations:

  • What do we really mean by cybersecurity?
  • And what does cybersecurity risk management actually mean in today's world?

Once we've clarified those definitions, we'll return to where we started--stronger, sharper, and more aligned.

See you tomorrow.

ーーーー

References 今日の出典・参照文献

Ajmal, A. B., Khan, S., Alam, M., Mehbodniya, A., Masud, M., & Eldin, E. T. (2023). Toward effective evaluation of cyber defense: Threat based adversary emulation approach. IEEE Access, 11, 46132-46150. https://doi.org/10.1109/ACCESS.2023.3274809

Center for Internet Security. (2023). CIS Controls version 8.1. https://www.cisecurity.org/controls

International Organization for Standardization. (2022). ISO/IEC 15408-1:2022: Information security, cybersecurity and privacy protection--Evaluation criteria for IT security--Part 1: Introduction and general model. ISO.

International Organization for Standardization. (2022). ISO/IEC 27005:2022: Information security, cybersecurity and privacy protection--Guidance on managing information security risks. ISO.

Legowo, N., & Juhartoyo, Y. (2022). Risk management: Risk assessment of information technology security system at bank using ISO 27001. Journal of System and Management Sciences, 12(3), 163-179.

National Institute of Standards and Technology. (2004). Standards for security categorization of federal information and information systems (FIPS Publication 199). U.S. Department of Commerce. https://doi.org/10.6028/NIST.FIPS.199

National Institute of Standards and Technology. (2006). An introduction to computer security: The NIST handbook (Special Publication 800-12). U.S. Department of Commerce. https://csrc.nist.gov/publications/detail/sp/800-12/archive/1996-10-01

National Institute of Standards and Technology. (2020). Security and privacy controls for information systems and organizations (NIST Special Publication 800-53 Rev. 5). U.S. Department of Commerce. https://doi.org/10.6028/NIST.SP.800-53r5

Sun, N., Li, C. T., Chan, H., Le, B. D., Islam, M. Z., Akgul, O., & Sezer, E. C. (2022). Defining security requirements with the Common Criteria: Applications, adoptions, and challenges. IEEE Access, 10, 41734-41763. https://doi.org/10.1109/ACCESS.2022.3167593

Wyss, G. D., & Williams, A. D. (2023). Possible does not mean useful: The role of probability of attack in security risk management. Nuclear Science and Engineering, 197(3), 437-454. https://doi.org/10.1080/00295639.2022.2129224

蓮見祥子 2026/01/14 06:02:35 Comment(0)

コメント

コメントを投稿する