OODAループ - Observe(観察)、Orient(仮説構築)、Decide(意思決定)、Act(実行) - は、米国で戦闘機のパイロット用に開発された概念です。日本では課題改善のフレームワークであるPDCAサイクルはよく知られていますが、明確な行程のない課題に対して速やかに意思決定して行動に移すためのフレームワークであるOODAモデルは、意外に知られていません。
このOODAの概念は、情報セキュリティにも応用できます。 通常、攻撃者の攻撃対象は皆さんの組織であることが多いため、その組織をよく知る防御側に一定のアドバンテージがあるといえますが、残念ながら、そのような組織の半数以上が第三者からの通知によってはじめて侵害されたことを知るというのが現状で、攻撃が完全に完了するまでOODAループを開始することすらありません。攻撃者はPDCAサイクルしか持たない組織のデメリットをよく知っていますので、従来のセキュリティ制御を巧みに回避します。しかし、OODAの考え方を既存の技術と組み合わせ、さらにいくつかの攻撃者ツールとテクニックを使用することによって、その攻撃を阻止し、注意をそらし、遅延させ、妨害し、そして検出することができます。
本セッションでは、どのようにしてテーブルを悪者に向けてOODAループイニシアチブを取り戻すことができるかを解説します。
SANS認定プリンシパルインストラクター
Kevin Fiscus
