CISOに対する期待は間違いなくこれまで以上に大きくなっています。攻撃に対する心配がますます高まる中、これまで見てきたとおり、攻撃はさらに巧妙で複雑になっています。データは組織の資産の「最も貴重な部分」を表すと言われてきましたが、2021年には、それがさらに真実味を帯びてきます。
業界や部門、サイバー成熟度がさまざまなCISOと定期的に話をしてきた者として、私は頭痛の種が存在する場所と、その原因をじかに目にしてきました。すべての組織が異なっており、異なるリスクを抱えていますが、それらの頭痛に対するソリューションを見つけることは可能です。私が推奨するものは、次のとおりです。
過剰なデータ = 過剰な脆弱性
過剰なデータを保持することが必ずしも問題になるとは限りませんが、ある種の分析麻痺につながる可能性があります。データは進捗状況を測定し追跡する能力をもたらしますが、それらの利用を阻むべきものではありません。
脆弱性スキャン、ペネトレーションテスト、スレットハンティング、攻撃対象領域の拡大、マルチクラウド環境、安全でないAPIといった類はすべて、大量のセキュリティ問題とデータを生み出す可能性があり、これらのセキュリティ問題は、時間の経過とともに組み合わさり、組織を攻撃に対して脆弱なままにしている場合があります。
ベンダは、一気にユーザのすべての問題を修正するソリューションを販売しようとします。実際には、セキュリティの特効薬などというものは存在しません。高度なセキュリティ成熟度は、人、プロセス、テクノロジーのすべてを連携し、社内にサイバー文化を浸透させることで達成されます。
この例の1つとして、ユーザが最初から「強力な」パスワードを選択する場合があります。この決定は、適切なセキュリティ文化、関連する人々、プロセス、テクノロジーによって生み出されたものです。この1つの結果によって組織が安全になるわけではありません。数百の日々の決定による影響が複合され、それによってサイバー成熟度がさらに高まります。
前後関係の把握が鍵
何をいつ修正すべきかを決定することが重要です。セキュリティプロバイダは、ユーザの環境やアプリケーションがどのように見えるかを十分理解しているかもしれませんが、問題に対して適切なレベルの前後関係が把握できない場合があります。
残念ながら、頭痛薬を飲むのとは異なり、この問題にソリューションはありません。幸い、すべての組織が、サイバー成熟度を高めるために適用できるソリューションがあります。
基本に忠実であること:ほとんどの場合、情報セキュリティの基本に行き着きます。大抵、組織は基本的なところで失敗しています(パッチの適用、パスワード、ポリシー)。エンタープライスレベルのセキュリティが難しく、微妙で多面的であることはわかっています。サイバー成熟度を確保するには、ホストとデバイスがパッチ未適用でないこと、堅固なパスワード管理が導入されていること、脆弱なポリシーではセキュリティを回避できないことを確認することが重要です。
主要なシステムとホストを優先する:すべてのホストが等しく作成されているわけではありません。一部のホストは、他のホストよりビジネスにとって重要です。最も貴重な部分はどこですか?それらは安全性が確保され、受け入れ可能なレベルまで強化されていますか?これらのシステムは外部に面していますか?それとも内部ホストですか?これらは確認する必要がある質問項目の一部です。これらを判断した後に、適切な強化策を実行できます。ここでは、主要なシステムの保護が重要である一方、それが隣接する環境を強化するための鍵でもあることを理解する必要があります。この分析は、ペネトレーションテスト担当者が実行する必要があります。
セキュリティプロバイダと話し合う:大半の場合、セキュリティプロバイダはユーザの環境をユーザと同じぐらい理解しています。大きな影響を及ぼすセキュリティ上の決定や、IT環境全体に大きく影響する決定を下すときは、サービスプロバイダに助言を求めてください。サービスプロバイダが問題の解決策を推奨しても、それが組織にとって実用的でない場合、資産に対するリスクを最小化するために、他にどのような制御機能を実装できるでしょうか?
調査レポート
2020 Trustwave データセキュリテインデックス
2020 Trustwave データセキュリテインデックスレポートでは、テクノロジーの傾向、侵害のリスクおよび規制によって組織のデータを保存および保護する方法がどのように具現化されつつあるかが示されています。レポートは、組織内でサイバーセキュリティ意思決定者またはセキュリティインフルエンサーを務める、966人の専任のITプロフェッショナルを対象とした最近の調査に基づいています。回答者の75%以上が、米国、英国、オーストラリア、シンガポールを含む主要な地理的地域で従業員500人以上の組織で働いています。