Consolidation vs. Optimization: Which Is More Cost-Effective for Improved Security?
2024/08/16 SecurityWeek — 経済/政治の情勢をマクロ視点から見ると、セキュリティ・リーダーたちが迫られる大きな決断として、自社の環境をより安全に守るための、金銭的/人的なリソースの使い方が浮上してくるだろう。この、いまの情勢が、脅威アクターたちの活性化を生み出しているのだが、その活動を縮小するよう、セキュリティ・リーダーは求められる。このパラドックスが、組織のオペレーションとセキュリティに携わる人々のストレス・レベルを引き上げている。
一例として挙げられるものに、Mimecast の Senior Director, Tech Alliances & API である Joe Tibbetts の、「平均して、組織の IT 予算内の僅か 9% がサイバー・セキュリティに充てられている。つまり、理想とされる 12% を大幅に下回っている」という発言がある。この数値は、同社の “2024 State of Email and Collaboration Security Report (PDF)” からの引用である。
このギャップが、大きな影響を及ぼしている。具体的に言うと、今日の脅威の状況に合わせたスピードと効率で、それらを検出して対応することは不可能だと、IT 専門家の 37% が認めている。
では、あなたがセキュリティ・リーダーなら、どうするのだろうか。セキュリティの統合 (consolidation) については多くの議論がある。しかし、それが難しい話題であることも確かだ。結局のところ、多くの場合において、企業は同じプロダクトを重複して持つことになる。続いて、セキュリティの最適化 (optimization) という話もある。それは、企業の既存のセキュリティ・インフラを評価し、既存のものを使用して、より多くの成果を達成する方法である。または、既存のものを使用して、従業員を適切に武装させて、ストレスを軽減する方法を検討するプロセスのことである。どちらも複雑な検討事項である。
このようなストレスに直面している人々を支援するために、2人の技術リーダーと相談し、それぞれに関するガイダンスと意見を集めることにした。
統合 (consolidation)
Google Cloud Office of the CISO の Security Advisor である Anton Chuvakin は、特に統合について、多くの意見を公表している。
Anton Chuvakin は、「統合について理論的に説明すると、より少ないベンダーから、より広範で、より多機能な製品やプラットフォームを購入することである。その結果として、狭い範囲にベンダーを集中させるという犠牲の上に、市場での優位性を高めることになる。組織におけるセキュリティで実現すると思われるものには、コストの削減/効率性の向上/リスクの低減/可視性の向上などがある。それらは、製品間のギャップの縮小によるものだが、現実にどうなるかは、まぁ、誰にもわからない」と述べている。
彼は、「この特別なパラドックスは、何度も観察してきたものである。統合の魅力とは、簡素化されたオペレーションを約束することだが、現実面で見ると、しばしば異なる絵が描かれる。第一に、統合されたツールを運用していて頻繁に遭遇するのは、重要であることが判明した、いくつかの要件をカバーできないという現象である。その結果として、焦点を絞った別のツールが調達され、また統合が行われる」と指摘している。
また、統合の概念に対して、現実が押し寄せてくるという側面もある。具体的に言うと、ベンダーによる囲い込みや、Shadow IT につながる製品の複雑化、複雑な価格設定などが挙げられる。つまり、複雑な統合プラットフォームを維持するためには、多大なリソースと専門的なスキルが必要になり、結果的に、他の領域でコストがかさむことになる。
Anton Chuvakin は、「理論的には、幅広い機能を持つセキュリティ・ツールを選定し、その購入の量を減らすことは素晴らしいアドバイスとなる。しかし、実際のことを、セキュリティ業界における 40年の歴史の中で、それほど上手く機能していない」と締め括っている。
Spotit の Operations Manager である Wim Remes も、統合の隠れたコストについて、同様の考えを述べている。
Wim Remes は、「ここでの議論を簡潔にするために、請求書に記載された金額だけがコストはではないという論点に触れたくないが、そうでもできない。貸借対照表が、負債と資産の両方を含んでいるのには理由がある。そしてし、セキュリティ・インフラにおける運用コストと残存リスクは、時間の経過とともに増加すると、私は確信している方だ」と述べている。
彼は、予算面での考慮は別として、組織内でセキュリティ統合を推進する大きな原動力の1つとして、コンプライアンスの存在を挙げている。
彼は、「私たちを取り巻く大きな存在として、規定的なセキュリティ・フレームワークや数多くの業界規制などがある。要するに、セキュリティは非常に単純なものである。それらのフレームワークから規定的な言葉を除外し、Google で検索して、それをカバーするベンダーを取り出してデモを希望し、コンプライアンス表にチェックを入れるだけだ。それがセキュリティではないことは、誰もが知っているが、それが現実である。それぞれのセキュリティ・ベンダーが、それぞれのプラットフォームが銀の弾丸であると宣伝している。そして、たくさんのチェックボックスを一度にカバーできると、私たちは信じ込まされている」と指摘している。
Anton Chuvakin にも、コンプライアンス要件について、既存の製品をセキュリティ・チームが活用する際に、必要とされる変化を阻害する要因になり得るのかと尋ねてみた。彼が認めたのは、それが極めて難しい質問であるということだ。
彼は、「理論的に、また、現実的に、有意義なセキュリティ改善を、コンプライアンスが推進することもある。それを否定するセキュリティ・リーダーはいないと思う。しかし、コンプライアンスの存在により、取り組むべき脅威から、資金と注意を逸らされることもある。監査人は満足しても、会社には身代金請求書が届くという例もある。このトピックに関する未完成のブログがあるのだが、今回のインタビューをきっかけに、終わらせる気になるかもしれない」と述べている。
Anton Chuvakin は、「南への風向きだからといって、船が南へ行くとは限らない。コンプライアンスが “南” を向いていても、脅威が “南” と “西” にある場合、コンプライアンスを守りながら、それらの脅威へ向けてボートを操船できるかどうかは、つまり、セキュリティ・プログラムを操縦できるかどうかは、あなた次第である」と付け加えている。
最適化 (optimization)
では、最適化についてはどうだろうか。この用語は、統合ほど広く使われていないが、ここに至るまでに説明してきた多くの要素を考慮すると、重視すべき用語になり始めている。
Wim Remes は、「私にとってのセキュリティの最適化とは、主に2つの要素から構成されている。1つ目は、投資する製品/機能/特徴が、自身のユースケースに適合していることの確認である。2つ目は、セキュリティ・インフラから自動的にデータを取り出し、操作する機能を構築することだ。現時点では、統合が達成されると、自動的に最適化も達成されると理解されているが、この判断はリスク主導ではない。測定される唯一の KPI は、セキュリティのコストである」と述べている。
Chuvakin と Remes が同意するのは、どのような組織であって、最初に行うべきことは、既存のツールの見直しであり、何かを購入する前に、それを行うべきだとしている。
Chuvakin は、「それらは機能するのか? 既存ツールの適用方法を学ぶことで、直面する問題に対処できるのか? 80%のソリューションなら提供できるか? それは、80%で十分なのか? ツールの購入には、コストがかかる。さらに言うなら、複雑さ/摩擦/統合要件/ストレスなどに加えて、回転椅子の増加による燃え尽き症候群なども考えなければならない。また、ツールとツールの継ぎ目で、何かが見落とされるリスクも増えると捉えるべきである。セキュリティは買うものではなく、やるものだ。そして、この言葉は当分の間、真実であり続けるだろう」と指摘している。
Remes は、最適化のアプローチを、Simon Wardley の Principles and Mapping Techniques になぞらえている。
彼は、「私は基本的に、どんなものであっても、周囲の気候や景観に影響されるものがシステムだと見ている。遠くからセキュリティを見れば、それは主としてデータの問題である。敵対者/インフラ/規制状況/リスクなどに関する利用可能なデータを使って、少なくとも、最も一般的な攻撃に耐えられる防御を、最も適したかたちで強化すべき場所を理解する必要がある。私たちは、セキュリティ・プログラムについて、いま以上に戦略的になる必要があり、必ずしもビッグロゴが、私たちの防御を強化するとは限らないことを理解する必要がある。ビッグロゴが提供するデータを理解し、それを、他のデータと組み合わせて利用し、コンポーネントを連携させることで、初めて十分な防御を達成するチャンスが生まれるのだ」と述べている。
つまり、簡単にまとめると、統合とは、他のツールのギャップをカバーするために、追加のツールを購入する可能性があることを意味している。その一方で、最適化とは、既存の製品とデータおよび、敵対者の行動などの外部要因を検討して、最善の進路を決定することを意味する。
まとめ
脅威情報に基づく防衛については、どのように取り組むべきだろうか?それは、MITRE により広められたコンセプトだが、この数年において、いくつかのベンダーによる積極的な運用が始まっている。Chuvakin は、すでに持っているものから、どのような価値を引き出せるかを見極めようとする組織にとって、有効なアプローチであるとしている。このことについて、少し書いてみる 。
Chuvakin は、「最終的に、脅威を考慮したディフェンスは、セキュリティに対する正しいアプローチである。結局のところ、全体としての私たちは、十分な脅威情報を持ち得ていないのだ。脅威に関するモデル化を進め、脅威情報をコントロール・プランに反映させる必要がある。平均的なセキュリティ担当者は、午前3時に起きて “セキュリティとは?” と自問する。しかし、同じ人に対して午前9時に尋ねると、それとは懸け離れた過ごし方をしていることが判るだろう」、と断言する。
私は Remes にも、脅威を考慮するディフェンスについて尋ねたが、彼は Simon Wardley のマッピングに当てはめてくれた。
彼は、「どのように戦略を構築素敵かという点を、画像により示す。多くの場合において、つまり、セキュリティ以外の分野においても、組織やチームは目的から実行へと一気に移行する。より広いセキュリティ戦略の中で、脅威を考慮した防御を考えると、特効薬にはなり得なくても、情勢を適切に理解するのに役立つ。したがって、最終的には、より優れた防御を構築することにつながる。つまり、脅威情報は不可欠である」と指摘している。
では、答えは何だろうか?セキュリティにおける多くの答えがそうであるように、それは組織によって異なる。しかし、Chuvakin氏とRemes氏の両氏は、セキュリティ・リーダーが脅威に焦点を当てながらコンプライアンスを維持するために役立つ重要な考慮事項を指摘し、ギャップを確実にカバーするためにツールの統合を検討する場合に行うべき重要な観察、Wardleyマッピングと脅威情報に基づく防御をどのように取り入れるか、また、意思決定を行う際にテクノロジーと人的環境のすべての要素を確実に考慮する方法について説明した。
では、答えは何だろうか? セキュリティに関する多くの問答と同様に、それは組織ごろに異なるものとなる。しかし、Chuvakin と Remes が指摘した方法には、セキュリティ・リーダーが、脅威に焦点を合わせながらコンプライアンスを維持するのに役立つ、重要かつ考慮すべき事項が並んでいる。また、ツール統合を検討する場合に重要な、ギャップをカバーするための観察事項を学ぶ方法や、Wardley マッピングと脅威情報に基づく、防御を取り入れる方法もある。そして、なんらかの決定を行う際には、テクノロジーと人的環境の、すべての要素を考慮すべきだとアドバイスしている。
かなりの時間を翻訳に費やしましたが、訳してみて良かったと思える記事です。なんとなく使っている Consolidation と Optimization という言葉が、セキュリティにおいて持つ意味を、少し理解できたように感じています。ただし、それらを上手く実施できたとしても、残される問題点があることも解りました。いろんな局面で、誰もが直面する理想と現実のギャップが、見事に描かれている記事です。
IoT OT Security News 
You must be logged in to post a comment.