#RSAC セキュリティプログラムの成功要因

明日まで開催されているRSAコンフェランス基調講演の記事が出ていました。

キタきつねの所感

詳細は省きますが、5/20基調講演での”セキュリティプログラムを成功させるもの”が何であるか、という疑問に対してのCISOのCISOであるWendyNather氏らの回答は、日本企業にとっても、大いに参考になるかと思います。

ベイカー氏によると、幸いなことに、ほとんどの一般的なセキュリティ慣行は、実際にはある種の前向きな結果につながりますが、他の慣行よりも成功しているものもあります。

「セキュリティの問題で私たちがしていること。ちなみに、これらの標準的な慣行はすべてかなり一般的であり、人々が達成したいと言っている結果を実際に達成しているという良い証拠があります」とベイカー氏は述べています。

むしろ、特に、組織が成功する結果をもたらすことに最も関連する5つの一般的な慣行があったとは言いませんでした。

①プロアクティブな技術の更新
②十分に統合された技術
③タイムリーなインシデント対応
④迅速な災害復旧
⑤正確な脅威の検出

（Info Security Magazine記事より引用※機械翻訳

言葉だけ見ると、どれも”当たり前の事”の様に見えますが、 ①との②のプロアクティブな慣行は、セキュリティはベンダー任せになっている企業には後手に回りがちな所かと思います。

また③～⑤はどれもインシデント発生後の対応となります。（これも”常識”となっている事ではありますが）もはや、サイバー攻撃の全ては防御出来ないという前提で書かれていると言っても過言ではなく、防御（境界防御）への比重が未だに高い企業や、侵入被害は受けないという根拠の無い自信を持っている企業には、言葉以上に中身が”重たい”と言えるかも知れません。

コンサルとして他社のセキュリティの状況を垣間見させて頂く立場としては、守秘義務があるので具体的には書けませんが、③④のインシデント想定がよく”練られていない”所もよく見かけた気がします。※今は大丈夫だと・・・信じたい。

特に④⑤の想定が火災、電力Down、洪水などの、所謂東日本大震災以降の天災に対しては比較的厚めに書かれているものの、サイバー攻撃（特にランサム辺り）については、「大丈夫かな・・・」と心配になる所も見かけました。

そうした企業に対しては、（時間が無いので）最低限必要な所だけを強化する事を推奨したのですが、そうした不備が出やすい所に限って、⑤の正確な脅威の検出の部分が、10年前からあまり変わっていない所が多かった気がします。

記事では、Cisco 2021 Security OutcomesStudyの調査データの、25のセキュリティプラクティスの内、下位５つも挙げていました。これは重要でないと言う訳ではなく、セキュリティプログラム全体の成功を考えた際に、大きく寄与するものではないと評価されたという事だと思います。

ベイカー氏は、セキュリティにおいて長い間焦点は主に保護にあったとコメントしましたが、現在では、検出、応答、および回復が少なくとも同等に重要です。調査からのデータは、保護以外のものがセキュリティプログラムの成功に重要であることの良い証拠であると彼は述べました。

成功する結果のための最小の相関慣行

調査に従って評価された25のうちの下位5つのプラクティスは次のとおりです。

21 上位のサイバーリスクを特定する
22 安全な開発アプローチ
23 誰かがコンプライアンスを所有している
24 セキュリティとビジネスを理解する
25 レビューされたセキュリティ対策

（Info Security Magazine記事より引用※機械翻訳

こうした対策（運用）は、日本企業でも日常的に取り入れられていると思いますが、そうした基本的な対策は重要ではあるものの、それだけでは最近のサイバー攻撃は防げないと、Cisco-CISOのベイカー氏も考えている様です。

ベイカー氏は、セキュリティにおいて長い間焦点は主に保護にあったとコメントしましたが、現在では、検出、応答、および回復が少なくとも同等に重要です。調査からのデータは、保護以外のものがセキュリティプログラムの成功に重要であることの良い証拠であると彼は述べました。

（Info Security Magazine記事より引用※機械翻訳

今年のRSAコンフェランスの記事では「レジリエンス」（回復）に注目したものも数多く出ていた気がしますが、既に”負ける”事を前提とした”第5の戦場”に我々は立っている、その事を改めて感じました。

参考：シスコの調査レポート

www.cisco.com