イソップ童話の「ウサギとカメ」は、特に現代において、セキュリティについて多くのことを教えてくれます。この物語の教訓は「ゆっくりでも着実に進めば勝てる」というものです。別の見方をすれば、dictionary.comで「slow but steady wins the race(ゆっくりでも着実に進めば勝てる)」の定義は「一貫した効果的な努力が成功につながる」となっています。
私はこれに非常に同意します。さらに、このメッセージを内面化することで、企業のセキュリティチームやセキュリティベンダーが、より地に足のついた、戦略的で効果的な行動を取れるようになると考えています。どういう意味か、説明させてください。
セキュリティの分野では、常に次の「キラキラした新しいもの」や「その日の話題」、あるいは過剰に誇張されたテーマに直面しているように思えます。それと同時に、「変革された脅威の状況」や「新たな現実」について私たちに恐怖を植え付けようとする「専門家」が絶え間なく現れます。実際、この分野には気を散らすものが尽きることはありません。
私たちの中には、この分野でほぼ常に気が散る傾向があることを認識している人もいるでしょう。では、どうすれば誘惑に負けて、現れるたびに気を取られてしまう罠に陥らずに済むのでしょうか?あるいは、別の言い方をすれば、どのようにして私たちの時間とリソースを、価値や投資対効果が見込める分野に適切に投資できるのでしょうか?
最初のステップとして、いくつかの質問をすることをお勧めします。
- それで?:新しく気にかけるように言われたこの事柄は、実際のところ私にとって何を意味するのか?自分の組織のセキュリティ体制に悪影響を及ぼす現実的な結果は何か?
- これは自分の組織にリスクをもたらすか?:この新しい事柄がほぼ確実に自分の組織に追加のリスクをもたらすのであれば、それは注目すべき手がかりかもしれません。ここで重要なのは、そのリスクと影響を客観的に測定することであり、誇大広告にリスク評価を左右されないことです。リスク評価が終わったら、そのデータを使って何をすべきか戦略を立てるべきです。
- これは自分の全体的なワークフローに組み込まれるものか?:この新しい事柄が本物でリスクをもたらすのであれば、最終的にはセキュリティの日常業務に組み込まれる可能性が高いです。リスク軽減、コンプライアンスの確保、この新しい事柄に関する日々のセキュリティタスクを組み込む計画が必要になります。過去に多くの正当な新しい事柄がそうであったように、最終的には全体的なセキュリティ戦略や計画の一部となるでしょう。
これらの質問への答えが得られたら、セキュリティの基本に立ち返る時です。つまり、リスク、戦略、目標、ワークフロー、プロセス、コンプライアンス、運用です。
- リスク:世の中には多くのことが起きていますが、何かが企業のリスクに影響を与え始めるまでは、それに大きな労力を割くのは難しいでしょう。しかし、何かがリスクに与える影響を客観的に定量化できるのであれば、その時点でそのリスクを受け入れるか、軽減する計画を立てるべき時です。
- 戦略:すべての成功するセキュリティチームは、しっかりとしたセキュリティ戦略に基づいて運営されています。戦略はリスクや脅威の変化に応じて時折調整することはできますが、極端に変化したり、ましてや一瞬で変わるべきではありません。もし最新の事柄がセキュリティ戦略を根本的に変えることを要求しているなら、それは誇張されている兆候かもしれません。良いニュースは、よく練られたセキュリティ戦略は、本当に必要な新しい事柄であれば、着実かつ体系的に対応できるということです。
- 目標:しっかりとしたセキュリティ戦略を実行するには、達成可能な目標を設定し、それを達成することが必要です。最新の事柄が誇大広告である手がかりは、多くの目標を即座にリセットし、再構築することを求めている場合です。本物の事柄であれば、世界をひっくり返す必要はありません。むしろ、非常に理にかなった方法で目標を調整する必要があるだけです。
- ワークフロー:セキュリティワークフローは、セキュリティチームが生産性を高め、ボトルネックを解消し、企業をよりよく守るために時間をかけて洗練させていくものです。新しい環境が導入されたり、新しいログソースが現れたり、規制要件が変わったり、戦略的優先事項が進化したり、その他の理由で、ワークフローは時折修正が必要になるかもしれません。しかし、ワークフローが一瞬で完全にひっくり返されるべきではありません。もしそうなっているなら、実体よりも誇大広告が優先されている兆候かもしれません。
- プロセスと手順:プロセスと手順は、セキュリティチームの行動を導くだけでなく、企業にとって戦略的に最も重要な項目を文書化し、優先順位をつけるのにも役立ちます。もし突然、セキュリティチームがプロセスや手順から大きく逸脱しているなら、それは最新の流行が少し誇張されていることを意味しているかもしれません。
- コンプライアンス:コンプライアンスは派手ではありませんが、明らかな理由から重要です。本物の新しい事柄であれば、何らかのコンプライアンス上の影響があるはずです。もちろん、それらには対応が必要です。しかし、実際のコンプライアンス上の影響をはるかに超える話題が盛り上がっている場合、それは話題が過剰であるという良い指標です。
- 運用:セキュリティ運用は、セキュリティプログラムの中心で日々脈打つ鼓動です。私はセキュリティ運用が人員過剰なチームを見たことがありません。したがって、チームメンバーが重要で価値のある活動に集中し、時間を有効に使うことが重要です。最新の流行が、これらの重要な活動からほとんど価値のない活動や組織のセキュリティ体制を向上させない活動に貴重なリソースを奪うなら、それは企業にとって非常に危険なことです。これは、誇大広告が企業にもたらす非常に危険な結果です。
新しい事柄が現れるたびに、それがどれだけ関連性があるかを評価する方法は他にもたくさんあるでしょう。一歩引いていくつかの質問をし、セキュリティの基本原則に集中することで、セキュリティチームは結局は誇大広告だったものを追いかけることを避けられます。どの話題が多くの労力を費やす価値があり、どれが遠くから監視するか、あるいは完全に無視してもよいかは、読者の皆さんにお任せします。
翻訳元: https://www.securityweek.com/slow-and-steady-security-lessons-from-the-tortoise-and-the-hare/