「セキュリティ劇場」の幕を下ろすために:Gartner Insights Pickup(378)
「セキュリティ劇場」は、情報セキュリティ専門家として著名なブルース・シュナイアー氏が作った造語で、一見リスクを軽減できそうだが、実は実効性のないセキュリティ対策のことを指す。サイバーセキュリティリーダーが全てを保護できるふりをするセキュリティ劇場を終わらせるには、どうすればいいのだろうか。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
情報セキュリティ専門家として著名なブルース・シュナイアー氏が20年以上前に作った造語である「セキュリティ劇場」。この言葉が表す事象は、いまだに驚くほど一般的だ。それは「一見リスクを軽減できそうな、実効性のないセキュリティ対策をすること」だ。残念ながら、こうしたセキュリティ対策が横行している。
問題は、デジタル資産があまりにも大規模かつ複雑になり、サイバーセキュリティのリーダーが全てを保護できないのはもちろん、全てを保護できるふりをすることすらできなくなっていることだ。
リモートアクセスが新たに利用されるようになった1990年代以降、パスワードの定期的な変更や複雑なパスワードの使用がセキュリティ上有効だと思われてきたが、それは人間の行動パターンを無視していた。今ではセキュリティ調査や意識向上トレーニング、ガバナンス/リスク/コンプライアンス(GRC)ツールが導入されているが、多くの場合、セキュリティ状況にほとんどまたは全く影響を与えない表面的な取り組みにとどまっている。
実のところ、理論上有効なセキュリティ対策の多くは、複雑過ぎて実行するのが困難であることが判明している。一方、一定以上の順守度を期待できるほどシンプルな対策は、ほとんど役に立たない。
どうして私たちは、こうしたわなにはまり続けるのか。それは、企業が差し迫ったリスクを認識しても、その重大性や費用対効果の高い軽減方法に関するデータがあまりない場合に、何とかしようとして行う一般的な対応が、セキュリティ劇場だからだ。
ただし、セキュリティ劇場は、全く無意味というわけではない。何も対策が講じられていなければ、セキュリティ上の不安から、ITを活用した効果的なビジネス活動に後ろ向きになってしまうような従業員も、セキュリティ劇場によって安心させられる。また、はっきりと目に見える管理プロセスによって、攻撃者、従業員、顧客、監査人に、自社がセキュリティにリソースを投入しているというシグナルを送ることができる。
だが、セキュリティ劇場への投資対効果には、常に疑問の余地があった。CEOにとって、技術に関連する変革が2番目に大きなビジネス上の優先事項となっている今(※)、サイバーセキュリティリーダーは効果的なだけでなく、多忙な従業員から取り組む価値があると認識されるセキュリティ対策に注力しなければならない。
社内の期待を再定義する
常に、企業のサイバーセキュリティチーム以外の従業員は、セキュリティプログラムの範囲と効果に関して非現実的な高い期待を抱いてきたといえる。これはもはや持続可能ではない。企業のデジタルプレゼンスは巨大だ。成長しているだけでなく変化しており、大抵は非常に急速に変化している。そのために、既存のセキュリティ対策の意義が低下している場合が多い。
クラウドなどのサービスプロバイダーは重要性を増しており、利便性と機能を提供しているが、サービスの提供基盤を抽象化している。そのため、企業が詳細なリスクを評価するのは困難または不可能だ。また、ビジネス部門は部門内により多くの技術者を置きたいと考えており、アプリケーションやエンドポイントの使用、コードの展開に関する意思決定に、サイバーセキュリティチームの目が届かないことが多くなっている。
一般的な企業が使用する無数のデジタル資産について、サイバーセキュリティチームが高度な保証を提供することは、もはや現実的ではない。中央で集中管理する機能が低下している影響は、より甚大になっている。企業は外部のステークホルダーから、より高度な組織ガバナンスとリスクの透明性を求められているからだ。
サイバーセキュリティの役割を再定義することは、単にサイバーセキュリティチームが何を行うのかを説明することではなく、サイバーセキュリティチームの責任範囲を明確にすることでもある。このことはますます重要になっている。期待管理をしなければ、サイバーセキュリティチームの目的と担当範囲についての非現実的で非生産的な思い込みが拡大し続けることになる。
責任モデルを再構築する
サイバーセキュリティチームにサイバーリスクに関する全責任を負い続けることを求めるのは、もはや現実にそぐわない。企業はマトリックス型組織を指向する傾向が強まっており、デジタルに関する意思決定の中でも、エッジやクラウドに関するものが多くなっている。
開発者やビジネス部門の技術者は、本社から煩わしいガバナンスやポリシーを課されずに済む、かつてないレベルの柔軟性を求めている。セキュリティやレジリエンス(回復力)を尊重するとは言うだろうが、これらのためにクラウドコンピューティングの利便性が損なわれる場合は尊重しないはずだ。
ビジネス部門のリーダーにとっては、サイバーセキュリティリーダーにサイバーセキュリティリスクの全責任を押し付ければ楽だが、サイバーセキュリティを当然視すれば、すぐにセキュリティ劇場に陥らざるを得ない。
セキュリティ劇場から脱却する唯一の方法は、デジタルリスクとデジタルメリットのバランスを考慮した新しい責任モデルを構築することだ。一部のセキュリティプロセスについてはサイバーセキュリティチームが引き続き責任を負うだろうが、他のプロセスについては開発者やビジネス部門の技術者、あるいはクラウドなどのサービスプロバイダーが責任を負うかもしれない。
プロセスに関する責任を含む責任分担アプローチを見直さない企業にとって、避けられない非生産的な結果が「責任のあいまいさ」だ。サイバーセキュリティチームが責任を負うプロセスは減るかもしれない。だが、リスク管理ポリシーの策定とリスク受容の意思決定について、専門家としてサポートする責任を負うことに変わりはない。
セキュリティ劇場を洗い出し一掃する
サイバーセキュリティの役割を再定義し、責任モデルを再構築して、自社ではセキュリティ劇場がもはや広がっていないと認識できたら、サイバーセキュリティリーダーにとって、期待に全く応えられなかったポリシーやプロセス、または状況が変化して効果がなくなったポリシーやプロセスを洗い出すよい出発点だ。
セキュリティ劇場を見極める力を磨いてきたサイバーセキュリティ担当者は、現在進められているセキュリティ保護についての新たな取り組みの可能性と、その実施に必要なツールやプロセスを適切に評価する準備ができている。急速に変化するデジタル世界でセキュリティを確保するには、固有の重大な課題に対処する必要があり、そのために多くの技術とプロセスの実験が行われている。
例えば、ソフトウェア部品表(SBOM)は、実践的なリスク軽減策となるのか。それとも「労多くして功少なし」となってしまうのだろうか。ゼロトラストネットワークアクセス(ZTNA)は、理論的にはクラウドベースのアプリケーションに有益だが、自社はそれを効果的に実装できるだけの統制が取れているだろうか。
セキュリティが感情に訴える側面を認識することは、サイバーセキュリティリーダーが非生産的なプロセスを特定するのに役立つ。また、サイバーセキュリティチームがプロセスを変更する理由や、非現実的な期待に応えようとしない理由を効果的に伝えるのにも役立つ。
出典:Closing the curtain on cybersecurity theatre(Gartner)
※この記事は、2024年10月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。