本当に確認していない限り、あなたの会社は「安全である」と同時に「侵害されている」――そしてダッシュボードだけでは、どちらなのか分からない。
多くのセキュリティリーダーは、口に出して語ることはほとんどないものの、静かにあるパラドックスと共に生きています。自社環境という箱の中を本当に覗き込むまでは、組織は安全であると同時に侵害されているのです。ダッシュボードは緑で、監査報告書も安心感を与えるかもしれません。しかし不都合な現実は、直接かつ頻繁に観測するまで、実際の状態をあなたは知らない、ということです。
猫と向き合う――牙のあるパラドックス
多くの読者は、シュレーディンガーの猫という言葉を聞いたことがあるでしょう。しかし細部は時間とともに曖昧になりがちなので、セキュリティに当てはめる前に、この比喩が何を意味するのかを改めて確認する価値があります。これは量子物理学の思考実験で、箱の中の猫のような日常的な物体に適用すると、微視的世界のルールがいかに奇妙に見えるかを示します。
古典的な設定では、猫を密閉された箱に入れ、3つの要素を同梱します。微量の放射性物質、原子が崩壊したかどうかを検知できる検出器、そして検出器が作動した場合に放出される毒薬の小瓶です。箱が閉じたままである限り、量子力学は放射性原子を「崩壊している」と「崩壊していない」が同時に成り立つ重ね合わせ状態として記述します。
外側から見る限り、誰かが箱を開けて確認するまで、猫は生きていると同時に死んでいるように見えます。観測者が見た瞬間、不確定性は単一の結果へと収束します。生きているか死んでいるかであり、両方ではありません。シュレーディンガーがこれを提案したのは、半分死んだ猫を信じていたからではなく、量子理論の単純化された解釈を批判し、観測されていない系をあたかも複数の状態を同時に占めているかのように扱うことがいかに奇妙かを人々に直視させるためでした。
この構造――観測されるまで複数の可能な状態に存在し、観測によって単一の現実の状態へと収束する――こそが、シュレーディンガーの猫が現代のサイバーセキュリティを語るうえで非常に強力な比喩となる理由です。
すべてのリーダーが運営している2つの会社
私がセキュリティコンサルティングに移った当初、多くのリーダーが実質的に同時に2つの異なる会社を運営していることに気づきました。監査、ダッシュボード、ポリシー文書の上では安全に見える会社と、表面下で攻撃者が探りを入れ、悪用方法を学んでいる会社です。取締役会向け資料では、組織は統制され、コンプライアンスを満たし、整然としているように見えます。ログやインシデントレビューでも同様です。しかし実態は、雑然として即興的で、盲点だらけに見えるのです。
やがて私は、この2つの状態を「紙の会社」と「現実の会社」と呼ぶようになりました。紙の会社は統制によって定義されます。フレームワーク、ポリシー、アーキテクチャ図、成熟度評価に登場する組織の姿であり、責任者が明記され、プロセスがマッピングされ、信号機のような安心感のあるレポートが並びます。
現実の会社は行動によって定義されます。テレメトリ、脅威インテリジェンス、レッドチームの発見事項、インシデント後レビューに現れる姿です。人々が実際にどう働いているか、プロセスに埋め込まれた近道、誰も触りたがらないレガシーシステム、十分に文書化されなかった統合によって形作られます。
パラドックスは、経営層の会話が通常「紙の会社」だけが存在すると仮定して進むことです。取締役会が「我々は安全か?」と問うと、答えはたいていポリシー、認証、ツールのカバレッジといった、紙の会社の属性を参照します。一方で攻撃者が相手にしているのは現実の会社だけです。リーダーが現実の会社を明確に、かつ定期的に見られるようになるまで、彼らは事実上「箱の中の猫」を管理しているのと同じです。つまり、安全であると同時に侵害されているかのように行動せざるを得ないのに、どちらが現在真なのか分からないのです。
セキュリティは統制の問題だけでなく、観測の問題でもある…
多くのセキュリティ戦略は、いまだに防御を主として統制の問題として扱っています。統制を増やし、要件をより多くマッピングし、指摘事項をより多く潰す。統制は重要であり、助言者としてそれを軽視するのは無責任でしょう。とはいえ重大インシデントは繰り返し、統制が紙の上では整っていても、可視性の欠落、設定ミス、例外運用といった隙間を通って攻撃者が横移動できることを思い出させます。しかもそれらは、何カ月も誰も綿密に確認していないことが少なくありません。
シュレーディンガー的に考えると、このセキュリティ課題は、統制の問題であると同時に、そしてますます「観測の問題」でもあると捉え直せます。物理学では、測定によって量子系は多くの可能な状態から、観測された1つの現実へと収束します。セキュリティでは、検知が同じ役割を果たします。アラート、ログ相関、異常調査、第三者からの通知といった具体的なシグナルが出るまでは、攻撃者が存在するかどうかを断定的に言うことはできません。確率や期待については議論できますが、現在の事実については言えないのです。
このレンズを通して見ると、3つの真実が浮かび上がります。
1. 証拠の不在(アラートがないこと)は、不在の証拠(安全であること)ではない
それは単に、あなたのツールが攻撃者のいる場所を見えていない、あるいはシグナルが効果的に相関・解釈されていないことを意味するだけかもしれません。静かなSIEMは、強靭性を示す場合もあれば、完全な盲目を示す場合もあります。より深い観測なしには、どちらなのか分かりません。
2. 滞留時間は、観測されていない現実の尺度である
攻撃者が検知されないまま過ごす1日1日は、経営層がシステム状態について誤った前提のもとで運営している1日です。検知のギャップが長いほど、組織は「安全であり、かつ侵害されている」という重ね合わせの中で生きる時間が長くなります。
3. 外部による発見は、観測不全の症状である
規制当局、顧客、パートナーが最初に「何かがおかしい」と知らせてくる場合、それは箱が外側からしか開けられていなかったという強いシグナルです。
セキュリティを観測の問題として捉えると、「我々は安全か?」という問い自体が間違った問いに感じられ始めます。より良い問いは、むしろ次のようなものです。
- 高価値のIDやシステムが侵害された場合、どれくらいの速さでそれを知れるか?
- テレメトリやログの観点で、我々の環境のどの部分が実質的に観測不能になっているか?
パラドックスを踏まえてリーダーに助言する
コンサルタントとしての目的は、不確実性を理由に組織を辱めることではなく、それを当たり前のものとして受け止め、体系的に減らしていくことです。複雑な環境には盲点があり、それを無視することからリスクが生まれます。
この仕事には、思考と行動における3つの転換が含まれます。
- 取締役会での問いを変える。「我々は安全か?」ではなく、「どこには強い証拠があり、どこは推測で語っているのか?」と問う。この誠実さが意思決定を現実に整合させ、投資ニーズを明確にします。
- 統制だけでなく、確からしさを測る。テレメトリのカバレッジ、検知速度、レッドチームの発見事項といった指標を含め、組織が脅威をどれだけ発見できているかを評価する。実務者の認知バイアスが、こうしたギャップをさらに悪化させます。
- 不確実性を罰するのではなく、曖昧さが表面化することを評価し、ギャップを認めて観測を改善するようチームを促す。そうすることで、時間とともに信頼が醸成されます。
パラドックスを現実の地平に下ろす
実際のエンタープライズでこのパラドックスを収束させることは、「安全である」ことを証明する単一の魔法の統制を見つけることではありません。紙の会社と現実の会社のギャップを継続的に狭めていく観測の習慣を築くことです。実務的には、いくつかのパターンが非常に大きな差を生みます。企業環境において、重ね合わせから観測への移行は何を伴うのでしょうか。コンサルタントの視点では、特定のパターンがこのプロセスに大きく影響します。
- 脅威ハンティングを英雄的行為ではなく、日常業務として扱う。多くの組織はハントを、特定の懸念や規制圧力に駆動される、たまの特別プロジェクトとして扱います。より効果的なモデルは、常設機能として運用化することです。攻撃者がどこに潜めるかについての前提を継続的に検証し、既存の検知が期待どおりに機能し続けていることを確認する手段になります。
- 問いを念頭にテレメトリを設計する。「どのログなら簡単に取れるか?」から始めるのではなく、「インシデント後にどんな問いに答えたいか、リアルタイムで何を観測したいか?」から始めます。その問いから逆算して、必要なテレメトリと分析を決める。そうすれば、単にストレージを埋めるのではなく、行動の理解に焦点が保たれます。
- 外部の観測を現実像に統合する。バグバウンティ、ペネトレーションテスト、独立評価、業界の情報共有は、他者に別の角度から箱を開けてもらう方法です。重要なのは、それらの観測を切り離された演習として扱うのではなく、自分たちの物語に折り戻すことです。
時間とともに、これらの実践は紙の会社と現実の会社のギャップを狭めます。リーダーには依然としてポリシー、統制、レポートが必要ですが、それらの成果物は、願望よりも観測された行動をはるかに忠実に反映するようになります。
半開きの箱の世界でリードする
セキュリティリーダーが言える最も誠実な言葉は、「我々は安全だ」ではなく、「ここまでが分かっていること、ここからがまだ分かっていないこと、そしてそのギャップをどれだけ速く埋めているか」でしょう。これは本質的に、継続的な観測へのコミットメントです。また、セキュリティを静的な状態から動的な実践へと捉え直すことにもなり、現代のデジタルビジネスの運営のされ方と整合します。
シュレーディンガーの猫は、観測されていない系が同時に複数の状態に存在し得ることを思い出させます。サイバーセキュリティにおいてこれは、静かな環境が、そうと証明されるまでは、強靭であると同時に深く侵害されている可能性があることを意味します。セキュリティリーダーとその助言者の仕事は、パラドックスが存在しないふりをすることではありません。組織が箱を早期に、そして頻繁に開けられるようにし、そこで何が見つかっても行動できるよう備えるための、技術的・組織的・文化的な能力を構築することです。
この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加したいですか?
翻訳元: https://www.csoonline.com/article/4128910/schrodingers-cat-and-the-enterprise-security-paradox.html
