重要なものを測定する：すべてのセキュリティリーダーが追跡すべき5つのベンチマーク

実行時の脆弱性

すべての脆弱性が同じではないことは周知のとおりで、実際には大半がノイズにすぎません。CISOは、セキュリティチームと開発チームが高リスクの脆弱性を積極的に優先し、修正できるよう、脆弱性管理プログラムに重要な文脈を付加する必要があります。CISOがベンチマークすべきKRIは次の3つです。 

• 実行時に特定された脆弱性の割合
• 既知のエクスプロイトが存在する脆弱性の割合
• 脅威アクターにより積極的に標的化されている脆弱性の割合

これらのKRIは、クラウドにデプロイされたアプリケーションやサービスが直面する高インパクトなリスクについて、重要な洞察を提供します。実際に使用中の脆弱性に焦点を当てることで、セキュリティチームは、影響の小さい脆弱性の海に埋もれるのではなく、重大なリスクを先回りして対処できます。

調査までの時間

アラート疲れは現実に起きています。多くの場合、組織はチームが直面するアラートの津波の原因を評価して是正するために必要な時間を割けません。単純に時間がないのです。脆弱性と同様に、すべてのアラートが同じではありません。リアルタイム対応が必要なアラートが見落とされるリスクがあります。 

重要なアラートをリアルタイムでトリアージするには、規律あるアプローチが必要です。多くのセキュリティチームは、依然としてノイズが多すぎ、シグナルが不足している状況に直面しています。Sysdigの555ベンチマークが示すとおり、クラウドセキュリティの実践は、5秒で脅威を検知し、5分で相関（または調査）し、5分で対応を開始できるように設計されるべきです。これは多くのセキュリティチームにとってパラダイムシフトであり、重大なアラートが放置されたり、脅威アクターが環境を悪用できる可能性を下げる時間軸で対処されなかったりするケースが多すぎます。したがって、CISOがベンチマークすべきKRIは次の3つです。

• 5秒以内に検知された脅威の割合
• 実行時に検出されたアラートのうち、5分以内に調査された割合
• 調査済みアラートのうち、5分以内に対応した割合

555ベンチマークは、クラウドの検知・対応能力が、敵対者の戦術・技術・手順（TTP）に追随できるだけの速さと効率性を備えることを求めます。CISOは、重要システムに関するアラートが、チームによってどれだけ迅速に調査され、対応されているかをベンチマークすべきです。このプロセスの一環として、調査が組織の運用環境の文脈に沿って行われるようにしてください。企業価値の源泉となるシステムやアプリケーションを、このベンチマークの最優先対象とすべきです。検知と対応の時間が短いほど、組織が侵害を回避できる可能性は高まります。

アイデンティティガバナンス

過剰な権限付与（オーバープロビジョニング）は、人のユーザーだけでなく、サービスアカウント（マシンアイデンティティ／非人間アイデンティティとも呼ばれる）にとっても望ましくない運用です。アイデンティティガバナンスは、すべてのアカウントに対する最小権限の原則に基づくべきです。セキュリティリーダーが過剰な権限に気づくようになったのは、つい最近のことでした。運用環境の大半のアイデンティティがどれほど過剰に権限付与されているかを把握できておらず、組織を厄介なリスクにさらしていました。ほぼすべてのセキュリティインシデントには、何らかのアカウント乗っ取り（ATO）またはアイデンティティの悪用が関与します。実行時に悪用される脆弱性に焦点を当てることでシグナル対ノイズ比を改善できる脆弱性管理と同様に、アイデンティティに焦点を当てたベンチマークは、特権が昇格したアカウントに対して中心に据えるべきです。CISOがベンチマークすべきKRIは次の3つです。

• 過去30日間に活動がないアカウントの割合
• 過去30日間にアカウントで未使用だった付与権限の割合
• 強力な認証が設定されていない管理者特権アカウントまたは高リスクアカウントの割合
  • リスクの定義および適切な認証レベルは組織が決定するものであり、業界規制や個人の嗜好により異なる場合があります 

組織は、非アクティブなアカウントを無効化または削除しないことがあまりにも多いのが実情です。信じてください、私はそれを何度も目の当たりにしてきました。これはサービスアカウントにも当てはまります。CISOは、攻撃者の機会を減らすために、過剰に権限付与されたアカウントを優先対象とする組織的なアイデンティティガバナンスのベンチマークを確立する必要があります。アカウントがアクティブでない場合は、速やかに（遅くとも30日という閾値以内に）無効化すべきです。権限が使用されていない場合も、定められた期間内に取り消すべきです。同様に、クラウドアカウントの認証運用は適切にガバナンスされるべきであり、特に特権が昇格したアカウントには強力な認証を適用する必要があります。 

インフラの設定ミス

たとえば、機密データを含むS3バケットを誤って公開してしまったことによるデータ侵害は、誰もが認識しているところです。クラウド運用とマイクロサービスに内在する複雑さは、安全な設定の重要な役割と継続的な評価の必要性を浮き彫りにします。設定ポリシー、ゴールデンイメージ、リファレンスアーキテクチャは、クラウドセキュリティリスクを最小化するための基盤です。CISOがベンチマークすべきKRIは次の3つです。

• 特定のクラウドサービスプロバイダー（CSP）向けに、Center for Internet Security（CIS）ベンチマークのような設定ポリシーに照らして評価されているクラウド資産の割合
• ポリシーと整合している設定の割合
• 指定された期間内に是正された設定ミスの割合
  • 理想的には、設定ミスの是正は自動化されるべきです

設定ミスと脆弱性は表裏一体です。CISOは、運用環境における安全でレジリエントな設定の状態を評価するためのベンチマークを策定すべきです。セキュリティチームは、資産クラス全体にわたってCISベンチマークを含むポリシーを用い、安全な設定が例外ではなく標準となるよう、クラウド導入を確実にし、保証すべきです。また、調査までの時間と同様に、重要システムの設定ミスに対処するタイムラインは先回りしてガバナンスされるべきであり、攻撃者が設定ミスを悪用する余地をほとんど（あるいはまったく）残さないようにしてください。  

セキュリティカバレッジ

セキュリティアプリケーションやツールは、正しく実装され、クラウドインフラ全体にわたって展開されて初めて有効になります。目的特化のクラウドネイティブツールはクラウドのスピードで動作するよう設計されており、クラウド脅威をリアルタイムで検知・対応するためのテレメトリを提供します。CISOとセキュリティアーキテクトは開発チームと連携し、ビジネスのスピード（現代の技術とイノベーションにより業務は急速に変化し得ます）で動作しつつ、検証可能で包括的なセキュリティカバレッジを提供するセキュリティツールを展開すべきです。CISOがベンチマークすべきKRIは次の3つです。

• セキュリティログおよび監視テレメトリが適切に設定されているクラウド資産の割合
• 555ベンチマークに整合しているセキュリティアプリケーション／ツールの割合
• 重要なアプリケーションおよびシステムにおける重大インシデントの件数

CISOは、セキュリティアプリケーションやツールが十分かつタイムリーなテレメトリを提供しているかを継続的に評価すべきです。これらの入力が欠けると、クラウドベースの脅威を調査して対応する能力は難しくなり、セキュリティ態勢は受け身の状態に戻ってしまいます。クラウドのスピードで動作する適切なセキュリティツールがあれば、CISOは、企業アプリケーションとシステムがレジリエントで、ガバナンスされ、保護されていることを、組織の優先事項に沿って確実にするために必要な確信を得られます。

結論

データ主導のアプローチは、クラウドセキュリティとレジリエンスの態勢を検証し、伝えるための最良かつ最も効果的な方法です。KRIは具体的であり、主要なセキュリティ領域をベンチマークすることで、CISOはクラウド環境が安全で、事業目標と適切に整合していることを確実にできます。 

結局のところ、安全なクラウドは可視性、スピード、レジリエンスにかかっています。クラウドのイノベーションと脅威のスピードが速い中、セキュリティチームはリアルタイム対応能力を推進し、高インパクトなリスクを優先しなければなりません。実行時の脆弱性、調査までの時間、アイデンティティガバナンス、インフラの設定ミス、セキュリティカバレッジといったKRIを継続的に追跡し改善することで、組織は自らのセキュリティ有効性をリーダーシップとステークホルダーに自信を持って示すことができます。