機能しない別のセキュリティツールをもう一つ購入するのではなく、ボードは攻撃者を追跡するために技術環境の明確なマップに投資する必要があります。
四半期ごとに経営会議室で起こる会話があり、セキュリティリーダーは認識します。CISOが脅威の状況をプレゼンテーションします。ボードは企業に何が必要かを尋ねます。答えは、ほぼ常に別のツールです。別のプラットフォーム、別のモジュール、最新のギャップを埋めるための別のベンダー。予算が承認されます。ツールが展開されます。6か月後、会話が再び起こります。ギャップが実際に閉じられなかったからです。それは移動しただけです。
このパターンは数十年間繰り返されてきました。そして、極めて充実したセキュリティ産業を生み出しました。それでも10年前に抱えていたのと同じ根本的な問題に悩んでいます。組織は自分たちの環境について基本的な質問に一貫して答えることができません。どのような資産が存在するか。誰が、そして何がそれらにアクセスする権限を持っているか。今この瞬間、これらのシステム全体で実際に何が起こっているか。
別のツールを購入する本能は理解できます。進歩のように感じます。ボードのアクションを見たいという欲求を満たします。ベンダーは製品を最新の見出しの脅威への答えとしてパッケージ化するのが非常に得意です。しかし、実際にリスクを軽減している組織は、ツール購入サイクルが隠している何かを理解しています。最も価値のあるセキュリティ機能は検出、予防、または対応ではありません。それは可視性です。
ほとんどのエンタープライズセキュリティチームはスタック内のすべてのツールを名前で言うことができます。それらのツールが集合的に何を見ているか、どのギャップがあるか、誰も見ていないものは何かの完全な図を描くことができるチームはほとんどありません。各ツールは特定の問題を解決するために購入されました。各ツールは設計されたことを合理的にうまく実行します。それでも、ほとんどの組織の全体的なセキュリティ体制はこれらの投資に比例して改善されていません。
改修中に3年前に追加された目印のない側面のドアについて誰も知らないまま、建物を保護するためのマップを描くことなく、より専門的なセキュリティガードを雇い続けている都市のように考えてください。1人のガードが正面玄関を監視します。別のガードが駐車場をパトロールします。3番目のガードが積み込みドックを監視します。各ガードは有能です。しかし、誰も追加された標識なしの側面ドアについては知りません。ガードが問題ではありません。欠落しているマップが問題です。
セキュリティツールも同じように機能します。エンドポイントツールはエンドポイントの活動を見ます。クラウドセキュリティツールはクラウド構成を見ます。ネットワークツールはトラフィックパターンを監視します。SIEMはそれらすべてからログを収集します。しかし、個々にまたは集合的に、実際に存在する環境の統一された図を提供するものはありません。各ツールは独自のコーナーを照らします。これらのコーナー間のスペースはブリーチが存在する場所です。
攻撃者は防御を突破しません。彼らはそれらの間を歩みます
今日最も効果的な攻撃は、単一のツールのカバレッジエリアを対象としていません。それらは接合部を動きます。有効な認証情報を侵害した攻撃者はエンドポイント検出をトリガーしません。1つのクラウドサービスから別のクラウドサービスに移動する攻撃者は合法的な信頼関係を使用してネットワークアラートをトリガーしません。侵害されたアカウントの権限を使用して新しい自動化された認証情報を作成する攻撃者は構成スキャナーをトリガーしません。
都市の類推に戻ると、誰かが合法的な従業員バッジを使用してすべてのガードを通り過ぎるようなものです。ガードが彼らを通すのは間違いではありません。失敗は、誰もバッジが実際に開くべきドアを示すマップ、その人が入る理由がない建物、および調査する価値のあるパターンを構成する都市全体のアクセスポイントの入場シーケンスを維持しないことでした。
過去数年間、様々な業界や企業規模のセキュリティリーダーとの会話では、これが最も一貫して表面化する不満です。ツールは機能します。アラートが発火します。しかし、ダメージが発生してから数日または数週間後まで、誰もシステム全体で何が起こったかの完全なストーリーを再構築することはできません。情報は環境に存在していました。それはただ接続されていませんでした。
可視性はデータと同じではありません
可視性は、セキュリティマーケティングで非常に頻繁に使用されてきた言葉の1つで、その意味のほとんどを失っています。すべてのベンダーが可視性を提供すると主張しています。ほとんどの場合、実際に提供しているのはデータです。ログ、アラート、ダッシュボード、レポート。データは可視性ではありません。データは原材料です。可視性とは、環境について特定の質問に数日ではなく数分で答える能力であり、その答えを信頼することです。
本当の可視性とは、何か悪いことが起こった後に法医学調査中に発見するのではなく、何かが環境に存在することを事前に知ることです。それはシステム間、ユーザーと彼らがアクセスするリソース間、自動化されたプロセスとそれが触れるデータ間の関係を理解することです。それはすべてのアクティビティを単一のツールのカバレッジの壁の中だけでなく、境界全体で追跡できることです。
今日のほとんどのセキュリティプログラムはデータが豊富で可視性が低いです。膨大なログ、数千のアラート、数百のレポートを生成します。そして何か悪いことが起こったとき、最初の48時間は依然として攻撃者がアクセスしたもの、どのシステムが関係していたかを理解することに費やされます。データと理解の間のそのギャップは、ブリーチコストが複合し、対応タイムラインが伸び、ボード信頼が低下する場所です。
ブラインドスポットが最も大きい場所
このような可視性のギャップはセキュリティスタック全体に表れていますが、ほとんどの組織が認識しているよりも速く成長している領域があります。平均的なエンタープライズの機械および自動化された認証情報の数は、セキュリティチームが追跡する他のすべての資産クラスを静かに上回ってしまいました。サービスアカウント、APIキー、自動化認証情報、サードパーティの統合、そして現在ではAIエージェントはすべて人間のユーザーと並行して動作します。それらのほとんどは、別のプロジェクトまたは別の会社に移動した誰かによって作成されました。多くはレビューされたことがありません。
結果として、重要なシステムにアクセスできる人と何の実際のインベントリが、リーダーシップが信じているものより数倍大きい環境です。そして、想定と現実の間のギャップはリスクが蓄積される場所です。誰も知らない認証情報は、誰も監視していない認証情報です。誰も監視していない認証情報は、攻撃者が単一のアラートをトリガーすることなく使用できるものです。
この問題はAI導入によってさらに複雑化しており、ガバナンスプログラムが追跡できるよりも速く新しいカテゴリの自動化されたアクセスを作成しています。しかし、根本的な問題はAIに固有のものではなく、単一のテクノロジートレンドに固有のものではありません。それは10年前から存在していた同じ可視性問題であり、現代の環境がより狭い周辺を監視するために構築されたツールの見方の外側にある新しい接続、新しい認証情報、新しい信頼関係を生成する速度によって加速されています。
ボードが代わりに尋ねるべき質問
ボードメンバーとシニアリーダーがセキュリティ投資を評価する場合、思考のシフトは説明は簡単ですが実行は困難です。「保護されていますか?」と尋ねるのを止めて、「何を見ることができますか?」と尋ねることを始めてください。
環境を明確に見ることができ、システム間の関係を理解し、数分以内に任意のアクティビティのチェーンを再構築できるセキュリティプログラムは、可視性が半分であるが2倍のツールを持つプログラムより根本的に回復力があります。ツールは重要です。しかし、実際に何が存在するかを知ることの基盤の上に構築されている場合にのみ重要です。
次のツール購入を承認する前に、ボードはセキュリティリーダーにいくつかの質問をするべきです。重要なシステムにアクセスできるすべてのものの完全で最新のインベントリがありますか。明日ブリーチが発生した場合、攻撃者が触れたすべてのシステムで何が起こったかを再構築できますか。ツール間のギャップはどこにあり、誰がそのギャップを監視しているか。答えが不確かな場合、最高のリターン投資は不完全な基盤の上に別の検出層ではありません。それは基盤そのものです。
ボードができる最高のセキュリティ投資は2026年、別のツールではありません。それは彼らが自分たちの環境を仮定したものではなく、実際にあるように見る能力を確保するためにチームにプッシュすることです。最初にマップを描いてください。他のすべてはそれに基づいて構築されます。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
