Building trust in a zero-trust environment
2022/03/14 HelpNetSecurity — 最近の MITRE と DTEX の調査では、インサイダー脅威に対する業界の長年の取り組みにもかかわらず、すべての悪意ある行動を発見するには、十分なデータも高度なシステムも存在しないことが明らかになっている。企業は、サイバー・セキュリティという企業文化を構築するために、ゼロトラスト・アーキテクチャに投資し、すべての攻撃表面を積極的にカバーし始めている。
それは正しい方向への一歩であるが、このセキュリティ手法は、従業員の恐怖心を煽り、ネガティブな反応を引き起こす可能性も秘めている。特に、「大量離職」が叫ばれる中、従業員の要求に応えられない職場文化が引き起こす問題により、無数の人々が職場を去っている現状について考える必要がある。不信感の表れと受け取られた場合、ゼロトラスト・セキュリティは従業員の憤りを煽り、意欲を失わせ、離職率を加速させ、大量離職のピークを生み出す可能性がある。
雇用者と従業員の間に摩擦を生じさせることなく、ゼロトラストを効果的に乗り切るために、企業はどうすればよいのだろうか。そして、オフィス内の環境といった閉じられた空間で、信頼を築くという贅沢な演習を回避しながら、どうやって、そこにたどり着けるのだろうか。
つまり、ゼロトラストの意味とは、組織のネットワーク全体に対して、不信感を植え付ける点にあるわけではない。また、企業は、保護のためのテクノロジーだけに頼るべきではない。セキュリティはチームワークで行うのが一番である。言い換えれば、ゼロトラストの成功は、全社的な透明性/コミュニケーション/一貫性といった文化に依存しているのだ。これらの取り組みが適切に理解/適用されるなら、持続可能なゼロトラストの職場環境を作り出すことが可能となる。では、どうすれば良いのだろうか。
透明性とコミュニケーションの文化を創造する
World Economic Forum の Global Risk Report 2022 によると、サイバー・セキュリティ侵害インシデントの 95% は、従業員のミスにより引き起こされている。人間であれば、フィッシング・メールのクリックや、無意識うちのマルウェア実行などが生じがちとなり、企業全体をサイバー攻撃にさらす可能性を高めてしまう。ゼロトラスト・セキュリティは、人間への攻撃面を含む、すべての攻撃面をカバーすることで、この問題を解決する。
しかし、ゼロトラストは、企業と従業員の間の信頼と信用にまつわる問題を提起する。すべての決断と、すべての行動を検証することは、恐怖とパラノイアのビッグ・ブラザー文化を生み出さないだろうか。ほとんどの組織が、このジレンマに悩まされている。しかし、現実には、そのためのソリューションや、部分的なソリューションは極めてシンプルだ。
企業は、ゼロトラスト・テクノロジーをシステムに導入し始めたとしても、それを企業文化に統合する必要がある。何が起きているのか?ゼロトラストのプロセスには何が含まれるのか?企業と従業員の影響と利益は?何に気をつけるべきか?そしてゼロトラストのプロセスを、どのようにサポートすればよいのか? このような観点から、従業員に注意を喚起するのだ。
従業員を巻き込むことで、潜在的な脅威に対する健全な懐疑心を抱かせ、組織の骨格全体にセキュリティの種が蒔かれていく。現状とゼロトラストの価値を従業員たちが理解すると、従業員も信頼されていると感じ始め、より広義のサイバーセキュリティ・ネットワークの一員として自覚するようになる。つまり、企業に対する内部および外部からの脅威を、従業員たちが積極的に特定し、あらゆる面をカバーし、優れたセキュリティ衛生状態を育成するというかたちで実を結ぶ。
説明会の実施と継続的なトレーニング
セキュリティ文化を醸成していくためには、常に万全の態勢を整えておくことが重要である。具体的には、ゼロトラストを正確に実行するための継続的な情報共有や、セキュリティ・トレーニング・プログラムの提供などが含まれる。x は良い、y は悪いというだけでは十分ではない。異なる背景を持つ人々がいるため、セキュリティ上のミスや災難に対して異なる解釈が生じる可能性がある。悪質な行為者も存在するが、ほとんどの内部脅威は偶発的で意図的ではないことが判明している。
定期的な説明会の開催や、内部脅威プログラム、サイバー・セキュリティ意識向上トレーニングなどのリソースを、経営幹部からインターン生に至るまで、すべてのレベルに提供すべきである、それにより、企業はゼロトラストの導入を、より有機的に展開できる可能性が高くなる。正しい情報と Open Door Policy があれば、従業員はミスした場合に頼れるセーフティ・ネットの存在を知り、注意し回避すべき多くのセキュリティ・リスクについて熟知するようになる。
企業のセキュリティ・レイヤーを突破する脅威は、常に存在する。しかし、従業員がセキュリティ文化を維持するためのトレーニングを受けていれば、これらの脅威 (電話/電子メール/テキストなど) を特定し、自然に報告できるようになる。訓練された従業員は権限を与えられ、権限を与えられた従業員は企業に権限を与え、潜在的な侵害から企業を守るようになる。
成功のためのツールやインセンティブを用意する
透明性と知識を高める文化と、準備のためのトレーニングを組み合わせることで、ゼロトラスト環境を成功させるために必要なスキルを、従業員たちは構築していくことになる。しかし、透明性の高い文化だけで、従業員のモチベーションを維持できない場合には、成功のためのインセンティブ導入が有効となる。
組織に導入されたゼロトラスト・テクノロジーは、単に水平線を見張るだけのものではない。展開が楽しくなるような工夫をしよう。これらのテクノロジーの多くは、技術適応型認証に依存しており、従業員のデバイスの使用方法に基づき、雇用主サイドとしてリスク・スコアを作成することが可能となる。このスコアで楽しんでほしい。従業員間の健全な競争を促進するための利用や、セキュリティ・スコアの上位者に報酬を与えるプログラムの開始など、参加へのインセンティブを検討する必要がある。
また、ユーザーの行動を把握することで、VPN/暗号化/トレーニングの強化などの、それぞれの従業員が必要とするツールやリソースを、個別に提供できるようになる。このような、さまざまなツールなどを利用することで、カバーすべき攻撃対象領域を広げ、より強力なセキュリティ衛生を実現できるようになる。それと同時に、高いセキュリティ・スコアを獲得/維持するためのインセンティブとして、これらのリソースが継続的に使用され、必要に応じたセキュリティの刷新を推進する動機付けにもなる。
ゼロトラス・トテクノロジーは、すべての攻撃対象領域をカバーし、組織を保護するために利用できるが、それを使用する従業員がいなければ意味がない。したがって、企業の成功とセキュリティを、そして、従業員の成功とセキュリティを一致させることが、きわめて重要になる。つまり、透明性/オープン・コミュニケーション/プロセスへの信頼、そして、相互に能力を信じる文化を優先させる必要がある。それに加えて、全員がハンドルを握り、誰も取り残されないようにするための、継続的なトレーニングも必要になる。あらゆる攻撃表面をカバーし、最適な保護を保証する、さまざまなテクノロジーにより、現在と将来の脅威から身を守るための防衛力を持つ、従業員のネットワークを構築できるようになる。
この記事には、企業文化、職場文化、セキュリティ文化というふうに、文化という単語がたくさん出てきます。どのような産業でも業種でも、商品や、技術、そして顧客などを大切にする文化は共通だと思います。ゼロトラストという考え方は、テクノロジーからは一度はなれて、そこで働く人々全員で、セキュリティというものを考え直そうという話なんだろうと思わせてくれる、なかなか素敵な記事だと思います。なお、 Global Risk Report 2022 は長いレポートですが、グラフもたくさん入っていて、分かりやすいので、お薦めです。よろしければ、カテゴリ Zero Trust も、ご参照ください。
IoT OT Security News 