このHelp Net Securityのインタビューで、NedscaperのサイバーセキュリティアーキテクトであるNick Nieuwenhuisは、なぜサイバーセキュリティが数十年の投資が約束したレジリエンスを提供できなかったのかを説明しています。彼は、支出が技術的なコントロールに傾き過ぎており、人、プロセス、組織的なダイナミクスを軽視していると主張しています。
彼はセキュリティチームと経営層の間のギャップを解き明かし、弱いリスク伝達と定性的なヒートマップへの依存が根拠に基づいていないことを指摘しています。根本原因分析を還元主義的な習慣として反論し、レジリエンスを真剣な能力として扱うケースを示し、より強い組織が異なることを行う方法について説明しています。これには、コミュニケーション、演習されたプレイブック、セキュリティ機能全体における継続的な学習への投資が含まれます。
数十年の投資があるのに、なぜサイバーセキュリティは期待されたレジリエンスを提供できなかったのか?
サイバーセキュリティはコントロールの有効性に最適化されていますが、システム動作に対しては最適化されていないと思います。
ほとんどの組織はサイバーセキュリティを機械的なレンズを通して見ています。脅威を特定し、それらをコントロールにマップし、それらのコントロールを実装し、コンプライアンスを実証するという方法です。このモデルはフレームワーク、監査、さらにはチーム構成の方法まで深く組み込まれています。価値はありますが、リスクが比較的線形で予測可能な方法で動作することを前提としています。これはサイバーリスクは動的で予測不可能で曖昧な性質を持つため、当てはまりません。
サイバーリスクは複雑な社会技術的システムから生じます。インシデントは単一の欠落したコントロールによって引き起こされることはめったにありません。むしろ、テクノロジー、人、プロセス、および組織的制約の間の(欠落した)相互作用の結果です。学術的研究はますます、ほとんどのサイバーレジリエンスフレームワークがまだ過度に技術中心であり、これらの社会技術的なダイナミクスを考慮していないことを指摘しています。
したがって、歴史的に私たちがよくやってきたことは、既知で予測可能なリスクを軽減するためのコントロールを構築することです。同等にうまくやってこなかったことは、ストレス下でそれらのコントロールが集合的にレジリエントな動作を生成することを確保することです。これは部分的には、セキュリティ設計に人間要素を含めることを忘れたためです。これは、過去10年間に見てきたマルチファクター認証のさまざまな方法(SMSコードからパスキーまで)によって強調されています。これらのすべての方法は技術的に十分に機能していますが、セキュリティプロフェッショナルがセキュリティコントロールが必要な理由とそれらがどのように機能するかを伝達することが上手ではないため、採用は不足しています。私たちのツールは安全な動作をガイドすべきですが、過去にはそれを適切に実装することができていません。
この意味で、規律は投資の不足により失敗したのではありません。むしろ、その投資はテクノロジーコントロールに不釣り合いに集中しており、レジリエンスを決定し改善するより広い社会技術的条件への投資が不足しています。
サイバーセキュリティと経営上の意思決定の間の断絶はどこから生じるのか?
これは、サイバーリスクをいかに意思決定者が対応できるものに翻訳するかに由来していると思います。多くのセキュリティプロフェッショナルはまだビジネスリーダーに技術的に話しかけています。フィッシングやランサムウェアのような脅威について話していますが、これらの脅威がビジネスにもたらす実際のリスクを強調することを忘れてしまいました。
それに加えて、健全なリスク管理プロセスを含める場合、通常はリスクを定性的な方法で伝達します。「高確率、中程度の影響」。これは内部の議論には適していますが、リスク評価プロセスは証拠に基づいていません。「ヒートマップからヒストグラムまで」というサイバーリスク定量化に関する素晴らしい本があり、このギャップを素晴らしく強調しています。
さらに、能力のギャップもあります。多くの経営層はサイバーをビジネスリスクとして認識していますが、比較的少数しか深い専門知識を持っていない場合があり、ガバナンス構造はそのギャップを効果的に埋めるために常に設定されているわけではありません。CISOおよび他のセキュリティディレクターは、定性的方法または定量的方法のいずれかの信頼を過度に述べることなく、財務的影響を実ドルで含む、より効果的なビジネスリスクの観点からサイバーリスクを伝達する必要があります。優れたサイバーリスク管理の美しさは両者の間にあり、両方の方法のバランスを取り、経営層に響く良い物語を持つことです。したがって、現在の断絶は貧弱なサイバーリスク管理、伝達、および報告能力にあります。
インシデント後に特定の障害点に焦点を当てることの何が問題なのか?
根本原因を見つけようとする本能は理解できますが、根本的には、多くの場合システムの問題への還元主義的なアプローチです。
従来の障害分析は線形因果関係を仮定します。何かが間違ったのは、コンポーネントが故障したためであり、そのコンポーネントを修正すれば、再発を防ぐことができます。これは、安全が障害の不在として定義される、Hollnagelによって説明される古典的な「Safety-I」の視点です。
複雑なシステムでは、その仮定は成り立ちません。障害は、人々による行動(またはそれの欠落)、失敗した内部プロセス、システムまたはテクノロジーの障害、または外部イベントから生じます。しかし、ほとんどの場合、上記の要因の組み合わせがリスクをカスケードさせるため、単一の障害を指摘することは困難です。関与する未知の要因があまりにも多いのです。これは、システムおよびテクノロジーの障害以上に見て、人、組織、文化、およびプロセスの要因を含める必要があることを意味します。これにより、より持続可能でシステミックなセキュリティアーキテクチャと基礎となるプロセスの変更が行われ、最終的にレジリエンスが向上します。
レジリエンスについて、基準を低下させているように聞こえないようにどのように主張しますか?
誰もが、レジリエンスは何かが間違って、それが起こることができ、起こるだろうことを意味することを理解する必要があります。これはまた、予防のみに過度に依存することはできないことを意味します。サイバーレジリエンスは、サイバーイベントによる衝撃に耐える、回復する、適応することです。
そのケースを作るのに役立つのは、抽象的な概念から離れて、具体的な組織能力に焦点を当てることです。実際には、より回復力のある組織は、テクノロジーコントロールをはるかに超える多くの構造的および行動的要素に投資しています。
第一に、彼らは人間側に慎重な注意を払います。これには、圧力下で動作し、曖昧性に対処できる個人の選択、訓練、および保持が含まれます。第二に、彼らはコミュニケーションに投資します。レジリエントな組織はコミュニケーションを一次コントロールとして扱います。エンタープライズアーキテクチャはコミュニケーション改善のための優れたメカニズムです。第三に、彼らはプレイブックを設計し、演習します。ペーパーには見えても実際の危機では崩壊する多くのインシデント対応およびビジネス継続計画を見てきました。最後に、レジリエントな組織は、継続的な学習とセキュリティアーキテクチャおよび戦略にフィードバックされるフィードバックループの文化に投資しています。したがって、基準を低下させ、予防のみに焦点を当てることは、私たちが生きている複雑な世界をナビゲートできるようにしたい場合のオプションではありません。
なぜ人的および組織的要因はまだ過小資金なのか?
技術的なコントロールは、定義、調達、実装、および監査がより簡単です。それらはフレームワークにマップでき、ある程度測定可能な用語で表現できます。組織的なダイナミクスは、それらが動的で、他の人の視点、規範、価値観、信念に対処する必要があるため、はるかに複雑です。社会技術的研究は、脆弱性が孤立してではなく、人間の行動とシステム設計の交差点で正確に発生することを強調しています。(サイバー)環境が絶えず変化し、動いている場合、人間、組織、および技術的な観点からセキュリティ投資を正確に定量化することは非常に困難であり、おそらく不可能であると私は強く信じています。
サイバーセキュリティを社会技術的システムとして扱うまで、そのギャップは続くでしょう。これはサイバーセキュリティとサイバーレジリエンスの間の違いがある場所です。サイバーセキュリティはほとんどの場合、攻撃の発生を防ぐことについてであり、サイバーレジリエンスは組織がプレッシャー下でも受け入れられる性能を発揮できることを確保することを目指しています。これは間接的に、すべてを知ることはできず、絶えず変化する状況に適応できる必要があることを意味します。
翻訳元: https://www.helpnetsecurity.com/2026/05/20/nick-nieuwenhuis-nedscaper-cyber-resilience-strategy/
