セキュリティ負債とは、最初の侵害が発生するまでは整然としたメタファーに過ぎません。しかし、ひとたびインシデントが起きれば、牙を持つ請求部門へと変貌します。テクニカル負債は散らかった部屋のようなものです。コードは汚くなり、ビルドは遅くなり、開発者は不満をこぼし、締め切りは揺らぎます。
一方、セキュリティ負債は感染症のように広がります。弱い認証ポリシーが一つ、放置された管理パネルが一つ、ロギングの抜けが一つあるだけで、システム全体が劣化していきます。
それは敵対者に盗み聞きされるのを待つ噂話のようなものです。人々はセキュリティをチェックボックスとして扱いがちですが、そのような考え方がリスクの複利を生み出す一方で、誰もがリリース速度を称賛しています。そして請求書は奇妙な形で届きます。法務対応の時間、ブランドへの信頼、顧客の離脱、緊急対応に吸い込まれるエンジニアリングのリソースとして。
攻撃者は毎日利子を課す
セキュリティ負債がより速く膨らむのは、敵対者がその負債を積極的に探し、検査し、情報を共有しているからです。テクニカル負債は未払いの駐車違反切符のようにバックログに積まれていますが、セキュリティ負債は売買されます。リポジトリに流出したシークレットが一つ、パーミッションが緩いクラウドバケットが一つ、既知のエクスプロイトを抱えた古い依存関係が一つあれば、「利子」はその瞬間から発生します。脅威アクターはスプリント計画を待ちません。
彼らはマシンスピードでスキャンを実行し、翌日にはまた繰り返します。チームが乱雑なコードを何ヶ月も放置しても生き残れることはあります。しかし、脆弱な認証フローを一週間見過ごせば、後悔することになります。Cyverのようなプラットフォームは現代の現実の象徴です。セキュリティの仕事は今や、遅延を容赦なく罰するボットとエクスプロイトキットの世界で営まれています。
小さな抜け穴がシステム全体の脆弱性へ
テクニカル負債は局所的にとどまることが多いです。厄介なモジュールは、それを触るチームにだけ痛みをもたらします。しかし、セキュリティ負債は広がります。あるサービスが入力検証を省略すれば、それを呼び出すすべての側が補完しなければなりません。あるチームが認証情報をハードコードすれば、インシデント対応ではラテラルムーブメントを前提として動く必要があります。デモのための「一時的な」管理者例外が、誰もロールバックの責任を持たないまま永続化します。
この負債が一つのコードベースに収まることはほとんどありません。CIパイプライン、クラウドのパーミッション、ベンダー連携、サポートワークフローへと飛び火します。信頼関係が増殖するにつれ、負債もまた増殖します。システムはつながり、パーミッションは伝播していきます。
沈黙はバグよりもリスクを隠す
テクニカル負債は騒々しいです。テストは失敗し、パフォーマンスは低下し、開発者は大きく、そして正当に不満をこぼします。セキュリティ負債は、機能している間は静かです。つまり、ほとんどの時間は静かなままです。沈黙は幻想を育てます。リーダーはアップタイムを見て安全だと思い込み、エンジニアはグリーンのビルドを見て正しいと思い込みます。
監視は重要なシグナルを見落とし、ログは重要なコンテキストを省略し、アラートルールは昨年の脅威を追いかけます。「まだインシデントが発生していない」は「リスクがない」を意味しません。欠陥は何年も休眠状態のまま存在し、新しいエクスプロイトが登場したり、新しい連携が忘れられたエンドポイントを露出させたりした瞬間に爆発する可能性があります。
修正コストが高い理由:人間の抵抗
コードのリファクタリングは苦痛を伴います。行動のリファクタリングはさらに苦痛です。セキュリティ負債とは、人間が認証し、アクセスを承認し、シークレットをローテーションし、アラートに対応する方法を変えることを指します。そうした変更は習慣とプライドに衝突します。エンジニアは摩擦を嫌い、営業は遅延を嫌い、サポートはロックアウトを嫌い、エグゼクティブは過去の怠慢を認めることを嫌います。
認証情報のローテーションには、オーナーシップと棚卸しが必要です。最小権限の適用には、誰が何を必要としているかをマッピングし、不要なものを取り除く作業が求められます。それらを複雑にするのが調整コストです。セキュリティ修正は多くの場合、同期されたリリースと顧客向けのメッセージングを必要とします。
まとめ
セキュリティ負債がテクニカル負債を追い越す理由は、敵対的な環境の中で複利として膨らみ、相互に接続された信頼関係を通じて広がり、静かなダッシュボードの陰に隠れ、解消するためには人間の行動変容を要求するからです。テクニカル負債はチームを不便で罰しますが、セキュリティ負債は組織を壊滅的な被害で罰します。そして、その壊滅は整然としたロードマップを待ってくれません。
対応策は見せかけに頼ることはできません。セキュリティコントロールをコアインフラと同様に扱ってください。資産を棚卸しし、権限を絞り、迅速にパッチを適用し、重要なことをログに記録し、インシデント対応を退屈に感じるまで訓練してください。システムは汚いコードでも生き残れます。しかし、眠らない攻撃者に対する根拠のない楽観論では、生き残ることはできません。
翻訳元: https://gbhackers.com/how-security-debt-can-accumulate-faster-than-technical-debt/
