この記事はCisco Security の Product Marketing Manager の Sana Yousuf によるブログ「The KonMari Method: Sparking Joy with a Tidy Security Closet」
(2020/5/12)の一部抄訳です
片づけコンサルタントとして活躍する近藤麻理恵(こんまり)氏が『人生がときめく片づけの魔法』を出版し、世界中で大反響を呼びました。KonMariメソッドは生活のあらゆる側面を確実に改善できる体系的な整理・整頓術です。すべての所有物を一つひとつ確認し、本当に「ときめく」物は何かを見極めます。そして、ときめきを感じない物は、感謝の念とともに手放すよう推奨しています。
その根底を流れる考え方はセキュリティにも通じるのではないでしょうか。少し考えてみてください。多くの組織のセキュリティチームは、5 社から 50 社を超えるベンダーのセキュリティ製品と日々格闘しています。その結果、セキュリティチームからは、現実的な視点で包括的な意思決定を下す余力がどんどん削がれていきます。
こんまりメソッドを応用してセキュリティ環境も「整理」できないか想像してみましょう。
複雑さはセキュリティにとって最悪の敵
セキュリティの権威、Bruce Schneier 氏の「複雑さはセキュリティにとって最悪の敵」はまさに至言です。組織内の各チームは次なる飛躍に向けて絶えず野心的なプロジェクトに取り組んでいます。そのためセキュリティニーズが新たに生じ、多様なベンダーから製品を買い続けています。
こうして、複数のセキュリティ製品を次々に付け足していくという悪循環に陥っているのです。『ESG’s 2020 Integrated Platform Report(ESG 2020 年度統合プラットフォームレポート)』によると、使用しているセキュリティ製品が50 種類を上回った回答企業は 30% 超、25 種類を上回ったのは 60% でした。異なる製品が導入され続けているため、データセットのサイロ化は悪化する一方です。
説明責任を果たせるベンダーもいません。これでは、効果的なコラボレーションに必要な製品間の統一感や一貫性が実現からますます遠のき、セキュリティ製品間のギャップが増えていく一方です。こうして複雑さが増大していった結果、セキュリティチームは干し草の山から針を見つけ出すような作業に大半の時間を奪われ、本来対処すべき脅威に対応できなくなっています。相互に連携していないテクノロジーを利用していては、それぞれの情報の関連性が見えず、アラートの精度が一向に向上しません。
アラートの数ばかりが増えて、包括的かつ的確に脅威に対応しきれない現状を、どうすれば打破できるでしょうか?
ここで必要になるのは新たなセキュリティパラダイムです。つまりセキュリティ確保のプロセスを簡素化でき、デジタル トランスフォーメーションなどの重要な取り組みに安心して集中できる、新たなアプローチです。新しいパラダイムの根底にあるのは、「セキュリティ プラットフォームは簡素なほど効果が高まる」という考え方です。
Marisa Chancellor(シスコのセキュリティ・信頼部門シニアディレクター)によると、「ベンダーの数を減らし、より統合されたアーキテクチャを実現できれば、その効果は絶大です。1 つの統合アーキテクチャを通じてバックエンドを自動化することは、異なるベンダーの製品を継ぎ足して連携させる作業よりも、はるかにシンプルだからです。」
今こそ従来のやり方を刷新すべきではないでしょうか?
シスコでは、SecureX を通じてこうした刷新に取り組んでいます。この統合プラットフォームアプローチは、まさに企業が向き合っているセキュリティ環境を一変させるでしょう。それぞれのセキュリティソリューションが相互に情報を共有してそこから学習し、一丸となって脅威に対抗できなければ意味がありません。連携が希薄な「つぎはぎ環境」から卒業し、よりシンプルで効果的なセキュリティ環境に移行すべきです。
カオスを押さえ込む
冒頭のこんまりメソッドに話を戻して、まずは理想的なセキュリティエコシステムを想像してみましょう。環境の整理・整頓を通じてチームの生産性を高めるなら、これは絶対に欠かせないステップです。
そして、各チームのメンバーが連携して仕事に取り組む場面を思い描いてみましょう。さらに、これまでの手作業を自動化できたらどうなるかも想像してみましょう。インシデント対応チームの 1 日はどのように変わると思いますか?ビジネス意思決定に分析がどのような効果をもたらすと思いますか?いずれもサイバーセキュリティの整理に取り組む前に考えるべき質問です。
その上で、より大きなビジョンを追求できるよう、上記の基本理念に沿ってセキュリティ製品の選択肢を幅広く評価していきましょう。実践面でのヒントについては、CISO 向け資料『Cisco ESG Research Insights(シスコ ESG 調査結果報告)』にある Jon Oltsik 氏(ESG アナリスト)のアドバイスが非常に参考になります。
1.真剣に整理に取り組む:
まず、人材、プロセス、テクノロジーを取り巻く現在の課題を評価しましょう。業界トップクラスの評価を受けているプラットフォームなら、単なるテクノロジーの導入にとどまらず、実際にスタッフの生産性を高め、業務を効率化できるはずです。CISO は従業員トレーニング、MTTD/MTTR、プロセス自動化などの領域に影響を及ぼしているボトルネックを見つけ出す必要があります。ボトルネックを見つけておけば、テクノロジーの統合を進めるだけでなく、プラットフォームの要件を明確化する上でも大いに役立ちます。
2.関係者を特定:
IT・ネットワーク運用部門を RFI と製品評価に含めます。セキュリティは全員が共同で取り組むアクティビティです。セキュリティチームと IT・ネットワーク運用チームの間の緊密なコミュニケーションとコラボレーションの上に成り立っています。賢明な CISO なら、IT 部門のトップと連携して現在の課題を突き止め、RFI、製品評価、テスト、試用を通じて、どちらのグループにとっても効果的なソリューションを模索することでしょう。
3.先を見越して計画:
サイバーセキュリティのプラットフォームは、多くの場合、
他のカテゴリの製品や機能を統合しながら自然に発展していきます。したがって、プラットフォームを調査する際には、現在リリースされている製品だけでなく、
将来リリースされる製品も視野に入れて検討する必要があります。24 ~ 36 か月先までの製品ロードマップを各ベンダーに要求することは必須でしょう。業界トップクラスのベンダーであれば、包括的なプランをいくつも用意しているだけでなく、後から新たな要件が生じても喜んで顧客の声に耳を傾けるはずです。一方で CISO は、進捗の評価基準を定め、サイバーセキュリティ プラットフォームの段階的な拡張と継続的な改善を進めるためのプログラムを策定する必要があります。
4.関係者への聞き取り調査で、ときめきの有無を確認:
同僚の声を集めましょう。CISO への注意事項:多くの企業は同じ変革を進めています。社外にも協力し合える仲間がいることを常に忘れないでください。業種は異なっても規模が似ている企業の CISO であれば、お互いに助け合うことができるはずです。複数の企業が協力してベンダーに働きかければ、各業界に固有のニーズを満たす機能が製品にやがて追加されるかもしれません。
執筆者: Jon Oltsik
Cisco SecureX でときめきを
Cisco SecureX でときめきを
Cisco SecureX は、本稿で取り上げた側面(自動化、統合、コラボレーション、セキュリティに対するプラットフォームアプローチなど)の多くに対応しています。すべての所有物を評価し、ときめきの有無を確認する「こんまりメソッド」を思い出してください。
組織も同じように、テクノロジーの選択肢を再考すべきです。各製品が統合プラットフォームのアプローチを採用しているか調査し、防御をシンプルかつ強固にできることを確認しましょう。
Cisco SecureX のセキュリティ プラットフォームを導入すれば、他社製品も含めた多様なテクノロジーを統合して情報を一元化し、自動化を推進できます。ネットワーク、エンドポイント、クラウド、アプリケーションなど、すべての側面にわたってセキュリティを強化可能です。Cisco SecureX には次のような特徴があります。
- 統合プラットフォームを採用しているため、複雑さを緩和し、統合のメリットを最大化できます。
- 現在と将来のセキュリティニーズに対応できる基盤を構築できます。
- コラボレーションに不可欠なセキュリティ エクスペリエンスを刷新するため、ツールや人材の真の潜在能力を引き出せます。
セキュリティポートフォリオの整理について組織内での計画を始めましょう。
複雑なセキュリティ環境を、完璧に整理された「こんまり部屋」にすることが理想です。
セキュリティアーキテクチャ全体に調和し、統一に役立つ製品だけを見きわめて整理すれば、それも可能です。逆にアーキテクチャ全体と調和しない製品は、そっと環境から排除しましょう。
Cisco SecureX
Authors