数十年にわたってテストされてきた 5 つの安全コンセプト

ソフトウェアとハ​​ードウェアのセキュリティ推奨事項は過去数十年にわたって繰り返し更新されてきましたが、時の試練に耐え、1980 年代と同様に常に重要な役割を果たしてきた基本的なセキュリティ推奨事項がまだいくつかあります。

私たち全員が知っていることの 1 つは、データ セキュリティ業界が過去 30 年間にわたって急速に発展し、1990 年代から 2000 年代初頭の当初の「見せびらかし攻撃」から、その後の「金銭的」攻撃へと進化してきているということです。 「ハクティビスト」攻撃から、政府、企業、公共インフラをターゲットにした、より破壊的な国家的ハッキングキャンペーンまで。

これらの脅威がエスカレートし進化するにつれて、企業のセキュリティのニーズも高まり始めています。私たちは、ウイルス対策ソフトウェアやファイアウォールから、データ損失防止やログ管理、次世代 SIEM (セキュリティ情報およびイベント管理) や脅威インテリジェンスに至るまで、多くの新しいテクノロジーの出現を目の当たりにしています。これらはすべて、現在ネットワークの問題を解決するのに役立つと期待されています。セキュリティのジレンマ。

過去数年間、私たちは基本的なクライアント/サーバー ソリューション、ネットワーク中心、サーバー中心、ワークロード中心、クラウド中心、ファイル中心、さらにはブロック中心になり始めていることを経験してきました。センターではさまざまな安全保障に関する提案を行っています。

しかし、多くの提案が生まれては消えていきましたが、私たちは時の試練に耐える基本的なセキュリティ概念をいくつか見つけました。以下は、時の試練に耐えてきた 5 つのセキュリティ概念です:

1. お金がすべてではありません

長年にわたり、企業は受動的な形で高度なマルウェアやサイバー犯罪と戦ってきました。セキュリティの課題や規制要件への対応も消極的な状態にあります。企業は、新しいテクノロジーを購入し、これらのテクノロジーを管理するためにより多くの従業員やパートナーを雇用するためにお金を使う方法しか知りません。このアプローチは最終的に企業のセキュリティ危機を引き起こしました。セキュリティ チームは企業がどのような資産を所有しているかを把握しておらず、インフラストラクチャが肥大化して管理が困難だったためです。

この事後対応型のセキュリティ戦略は、お金を無駄にするだけでなく、IT インフラストラクチャ内でポイント ソリューションの寄せ集めが発生し、相互に調和して機能しないことがよくあります。多くの場合、これにより、企業が構築に成功したと思っていたネットワーク基盤に亀裂が生じ、サイバー犯罪者がアクセスする機会が残されてしまいます。事実は、より多くの安全支出が必ずしも安全事故の減少につながるわけではないことを示しています。

組織はセキュリティ支出への取り組み方を再考する必要があります。企業は新製品を購入する前に、最高のテクノロジーの必要性と、安全なインフラストラクチャを構築するためのその重要性を慎重に検討する必要があります。ますます巧妙化するサイバー犯罪に対処するには、組織はセキュリティ インフラストラクチャと運用を、事後対応的で扱いにくい、製品中心のものから、計画的で予測可能で、最適化とオーケストレーションを中心としたものに変革する必要があります。

2. 最も弱いのは人々です

セキュリティ擁護者は何年もの間、「内部関係者の脅威」の危険性について警告してきました。企業データを盗もうとする悪意のある従業員やその他の内部関係者は、企業の機密システムやサーバーに不正にアクセスし、マルウェアを実行して企業ネットワークを侵害します。もちろん、従業員が意図的ではないものの同様に損害を与える方法で、誤って機密データをクラウドに保存するなど、驚くべき事態も発生します。

現在、この内部関係者の脅威を悪化させる可能性のある 3 番目の要因があります。それは、サイバーセキュリティ スキルの慢性的な不足により、このような複雑なインフラストラクチャを管理するのに十分なリソースを雇用することが非常に困難になっているということです。その結果、IT チームは燃え尽き症候群 (仕事のプレッシャーにさらされた個人によって引き起こされる身体的および精神的な疲労と疲弊の状態) に悩まされ、最終的にはセキュリティ防御のギャップにつながります。これは、これほど多くのデータ侵害が、慎重に展開されたサイバー攻撃によってではなく、構成ミス、パッチが適用されていないシステム、その他の基本的な衛生要因を含む単純な人的エラーによって引き起こされる理由を説明しています。

企業が必要としているのは「より多く」ではなく「正しい」ことです。つまり、正しいセキュリティ戦略、適切なインフラストラクチャ、適切なセキュリティ ポリシーと手順です。サイバーセキュリティ ポートフォリオの最適化は、セキュリティをよりシンプル、管理しやすく、コストを削減するために企業が取るべき最初のステップであり、セキュリティ専門家の負担を軽減し、より保護的でビジネスに適したより高度な価値のあるタスクを優先できるようになります。

3. 従業員は防御の最前線になることができます

従業員は企業に重大なセキュリティリスクをもたらす可能性がありますが、サイバー犯罪に対する企業の最前線となる可能性もあります。この役割を達成するための最も効果的な方法は、従業員のセキュリティ意識と安全なオンライン行動を奨励し、報いる強力なサイバーセキュリティ文化を作り出すことです。

従業員が会社のネットワークとデータを維持することの重要性を理解していれば、責任を果たし、会社のポリシーに準拠する傾向が高まります。したがって、ランサムウェアやフィッシングなどのサイバー犯罪の攻撃手法や戦術、脅威が発見された場合の対応方法について従業員に教えるサイバーセキュリティ教育およびトレーニング プログラムを組織することが重要です。

さらに、従業員がオンライン活動を管理する方法を明確に説明し、企業ネットワーク、ソフトウェア、デバイスへのアクセスと使用が「許容される」および「許容されない」を定義することも同様に重要です。サイバーセキュリティ行動の実践を促進し、従業員の参加を動員するために、企業は報奨プログラムの開発、毎月の知識コンテストの開催、ゲーミフィケーション プロジェクトの立ち上げを検討できます。

意識、トレーニング、明確なセキュリティ ポリシーに基づいて強力なサイバーセキュリティ文化を構築するには、多大な時間と労力がかかりますが、最終的な結果は、すべての先行投資に価値があることを間違いなく証明します。

4. 脆弱性修正の役割は無視できません

次世代サイバーセキュリティ ツールの時代では、脆弱性修正は簡単な作業のように思えるかもしれませんが、強力なサイバーセキュリティ コンポーネント - メルトダウンには不可欠であることは否定できません。 (メルトダウン) およびスペクター (スペクター) の脆弱性インシデントによって、この事実が確認されました。メルトダウン/スペクターの脆弱性を修正するために必要な労力のレベルは、以前に蔓延していた脆弱性の修復作業よりも飛躍的に増大する可能性があります。

脆弱性修復の取り組みの違いに寄与する要因としては、必要なパッチの数、適切なシステムに適切なパッチを配置する複雑さ、影響を受けるシステムやアプリケーションに対するパッチのパフォーマンスと安定性への影響を理解するために必要な複雑さが挙げられます。テストなど古いシステムにパッチを適用することは、新しいシステムにパッチを適用するよりも難しいため、企業が古い機器を更新できないことによって、パッチ管理の問題はさらに悪化します。

新製品の更新が急速に繰り返される時代において、企業は基本的な問題に焦点を当て、基本的なセキュリティ テクノロジーとプロセス (脆弱性の修正など) を最適な位置に配置して、リスクを最小限に抑え、インフラストラクチャの安全性を維持する必要があり、現在の混乱を明確にします。

5. セキュリティはビジネスの問題です

最高情報責任者 (CIO) と最高情報セキュリティ責任者 (CISO) は、歴史的に上級管理職や取締役会の役職に就くのに苦労してきました。その主な理由の 1 つは、他の経営陣や取締役会のメンバーが理解できるように自社のビジネスを明確に説明できないことです。また、セキュリティ支出を会社全体のリスク プロファイルに関連付けることもできません。その結果、セキュリティに関する情報がほとんど、またはまったくない状態で戦略的意思決定が行われるため、ビジネス運営の効率を確保することにも苦労しています。

この問題は何年も前から存在していますが、セキュリティは多くの企業にとってまだ未熟な分野です。安全管理者は、視覚的なデータと主要業績評価指標を使用して、理解しやすく有意義な方法で業務の報告を開始する必要があります。他のビジネス部門と一貫した方法でセキュリティ運用の予算を立て、測定することは、セキュリティ管理者がビジネス戦略と計画においてより重要な役割を果たすのに役立ち、同時に企業がセキュリティ投資をリスク プロファイルに正確に結びつけることができるようになります。

さらに、「ビジネスの言語」を話せることが、セキュリティ管理者が経営幹部や取締役会の席を獲得する上で最も重要な要素となります。