BetaNewsは12月15日(米国時間)、「Threat modelling with Santa」において、サンタになぞらえて、サイバー攻撃対策の仕組みを紹介した。世界中の子供たちにクリスマスプレゼントを使命としているサンタの取り組みを、「資産」「コントロール」「脅威」に分けて、資産を保護する方法を解説している。
人々を幸せにするために守るべきものがたくさんあることを誰よりも知っているのはサンタであり、彼が守るべきものは、おもちゃ、おもちゃを準備する工場、プレゼントを欲しがっている子友達のリストと述べられている。そして、サンタは守るべきものを知っているだけでなく、子どもたちを幸せにし、おもちゃやお菓子の製造・配送のプロセスを確実に稼働させるために必要なリソースの限界も知っているという。
これらを守るべき「制御」として、おもちゃ工場の門(物理的な警備)、ベル(検知・監視)、多要素認証などが挙げられている。多要素認証は、子供たちのリストのロックを解除するには、サンタとトナカイのパスワードが必要であることになぞらえている。
「攻撃者」としては、偶発的な事件、お節介な子供たち、ホッキョクグマ、トナカイが挙げられている。トナカイはサンタの秘密を漏らすリスクがあるとして、内部の脅威に例えられている。
「脅威」としては、情報入手(知的財産盗用)、窃盗、クリスマスを台なしにする出来事 (サービス拒否攻撃)、サプライ チェーンが挙げられている。サンタの場合、おもちゃを作るための木材が不足して、サプライチェーンが滞るリスクがあるという。
守るべきものがなければ、サイバーセキュリティは必要ないとして、何を保護し、それが組織の中でどのような役割を果たすかを知ることが非常に重要と指摘されている。幸いなことに子どもたちにおもちゃやお菓子を届けるためにサンタは自身の組織の裏表をしっかり把握しているとし、業務を遂行するためにサンタの脅威モデルが有効だと紹介されている。
