ゼロトラスト戦略の導入において、セキュリティ基盤が最も見落とされがちな理由

セキュリティの基礎が失敗する理由は、ほとんどの新年のフィットネス目標が失敗する理由と同じです。

誰もが何をすべきかを知っています。より良い食事を摂り、睡眠を増やし、継続的に運動するべきです。どれも物議を醸すものでも新しいものでもありません。  

しかし、2月か3月になると、ほとんどのジムの会員権は使われなくなります。

サイバーセキュリティも同様に機能します。

攻撃者が際限なく創造的であるから、侵入され続けるわけではありません。侵害が発生するのは、組織が基本的なことを一貫して大規模に実行するのに苦労しているためです。そして、ゼロ トラストは、他のどのセキュリティ モデルよりも、それが実際にどれほど難しいかを明らかにします。

この現実は、ロス・ハレリューク氏との最近のThe Segmentポッドキャストでの会話の中心でした。ロス氏は、ステルスモードのサイバーセキュリティの新興企業の共同設立者兼 CEO であり、 Inside the Networkポッドキャストのホスト、 Cyber for Buildersの著者、そして業界で最も一貫して明確な視点を持つVenture and Securityニュースレターの論客でもあります。

この投稿では、ゼロ トラスト セキュリティが基礎段階で成功するか失敗するか、そしてそのギャップが侵害の実際の影響を決定することが多い理由について説明します。

「次世代」セキュリティの神話

業界では毎年、セキュリティのイノベーションを説明する新しい言葉が生まれています。

しかし、ロス氏が述べたように、ほとんどの侵害は、新しい攻撃チェーンや珍しいゼロデイ攻撃の結果ではない。

代わりに、それらは次の結果です:

• 変更されなかったデフォルトの資格情報
• 誰も存在を覚えていなかった資産
• 利便性のために追加された例外は、 時間の経過とともに忘れ去られる
• 攻撃者が侵入すると 横方向の 移動を可能にする フラットなネットワーク

これらは最先端の失敗ではなく、単純な運用上の失敗です。

ゼロ トラスト戦略では、これらの問題が魔法のように解消されるわけではありません。実際、それによってさらに目立つようになります。  

ゼロ トラストにより、組織は長年避けてきた「実際には何があるか」という疑問に直面せざるを得なくなります。誰が何と話せるようにすべきでしょうか?何か問題が起こったらどうなりますか?

だからこそ、ゼロ トラストは圧倒的に感じられるのです。

セキュリティの基礎が大規模に機能不全に陥る理由

基礎をしっかり行うには、コミットメント、一貫性、そして時間の 3 つが必要です。

残念ながら、現代の企業では、これらのどれも自然に拡張できません。

資産を 1 年に 1 回インベントリして、それをゼロ トラストと呼ぶことはできません。数四半期ごとに ID 権限を確認しても、 封じ込めが機能するとは期待できません。セグメンテーション ポリシーを一度適用すると、環境が変化してもそれが有効なままであると想定することはできません。

基礎は繰り返しを必要とし、繰り返しにはコストがかかります。

チームの日々の運営方法を変えるよりも、ツールを購入する方がはるかに簡単です。また、エンジニアリング、IT、運用、セキュリティ全体に同時に規律を適用するよりも、プロジェクトを承認する方がはるかに簡単です。

組織がゼロ トラストを維持するために必要な運用上の労力を過小評価すると、ゼロ トラストは失敗します。

ゼロトラストは知識の問題ではなく、インセンティブの問題である

セキュリティ チームにはリスクを軽減する動機が与えられます。エンジニアリング チームにはコードを出荷するインセンティブが与えられます。IT チームにはチケットを迅速にクローズするインセンティブが与えられます。営業チームには取引を成立させるインセンティブが与えられます。

実際には、ゼロ トラストはここで失敗することが多いのです。私たちは、セキュリティは全員の仕事であると言っています。しかし、現実には、セキュリティ成果で評価されるのはセキュリティチームだけです。

インセンティブを調整せずに他のチームが自然にゼロトラスト制御を優先することを期待するのは非現実的です。  

政策だけではこれは解決しません。実際、強制よりも例外が多く作られることが多いのです。

セキュリティ チームが影響力を通じてリーダーシップを発揮することを学んだときに、ゼロ トラストは成功します。彼らは関係を構築し、ビジネス用語でトレードオフを説明し、コントロールを阻害要因ではなく促進要因として捉えます。

侵害が避けられない場合の成功の測定

これにより、企業内のセキュリティ成果をどのように測定するかという疑問も生じます。ロス氏によれば、組織はそれがあまり得意ではないことが多いという。  

彼はユニコーン問題の思考実験に言及した。部屋にユニコーンがいると光る箱を買ったのですが、光りません。箱が壊れているのか、それともユニコーンが入っていなかったのか？それは分かりません。

違反が発生しなかった場合、それは管理が機能したためでしょうか、それとも誰も十分な努力をしなかったためでしょうか?

ゼロ トラストでは、この測定の課題は解決されませんが、その課題を再構築します。

現代のサイバーセキュリティの目標は、どんな犠牲を払ってでも侵害を防ぐことではなく、侵害の影響を軽減し、侵害を封じ込め、ビジネスの回復力を維持することです。

基礎に継続的に投資している組織でも、侵害を受ける可能性があります。しかし、実際にそうなると、横方向の移動は制限され、回復はより速くなり、評判のダメージは少なくなり、規制に関する話し合いはより合理的になります。

セキュリティのROIを証明することでゼロトラストがビジネス上の意思決定となる

セキュリティの ROIを定量化するのは非常に難しいことで知られていますが、ロス氏はゼロ トラストの考え方とよく一致する実用的な枠組みを提示しました。

• 顧客の信頼が収益に結びついている場合、セキュリティは販売促進要因になります。
• ダウンタイムが業務の妨げになる場合、セキュリティは回復力への投資となります。
• コンプライアンス規制で証明が求められる場合、セキュリティは必須条件となります。

いずれの場合も、ゼロ トラストは、侵害が避けられない場合にその影響を軽減することを目的としています。つまり、セキュリティの ROI は、回避された攻撃ではなく、維持されたビジネス継続性によって測定されます。

ゼロトラストの基本がこれまで以上に重要な理由

インフラストラクチャはこれまで以上に相互接続されています。ハイブリッド環境により従来の境界が曖昧になります。クラウド、オンプレミス、サードパーティのシステムは、単一の拡張された攻撃対象領域として動作します。

この世界では、複雑さがリスクを増大させます。

資産の可視性、最小権限アクセス、セグメンテーション、継続的な検証などのゼロ トラストの基本は、単なるベスト プラクティスではなく、生き残りメカニズムです。

組織が攻撃者に最も抵抗の少ない経路を与えれば、攻撃者は創造性を必要としません。彼らは既存のものを活用し、AI を使ってほとんど苦労せずに実現しています。

基礎に重点を置くということは、イノベーションを拒否するということではなく、イノベーションを現実に根付かせることを意味します。

そしてフィットネスと同じように、一番難しいのは、何をすべきかを知ることではなく、明日それを実行することです。そしてその翌日。そしてその後も毎日。

The Segment:ゼロトラストリーダーシップポッドキャストの全エピソードを聴くApple Podcast (アップルポッドキャスト),スポティファイ、 または当社のウェブサイト.