侵害を招かない社内セキュリティ文化醸成の7つのルール

This post is also available in: English (英語)

エグゼクティブの皆様、 

昨夜、貴社のネットワークが侵害されましたが、その原因はあなたにあるかもしれません。

「そんなはずない!」とあなたは叫ぶことでしょう。「私はカネもかけたしヒトも雇った。[今年話題のセキュリティソリューション●●]だって購入したし会議にも出て授業も受けた。対策は完璧だったはずだ

それでも、何億もかけて多種多様なセキュリティソリューションや人員を揃えてすら、テクノロジの魔法を操る巧妙な脅威攻撃者のやり口に出し抜かれたのです。しかも彼らが使ったのは新しいゼロデイ脆弱性ではありません。2019年のCVEです。それでいて彼らがまんまと攻撃に成功したのは、貴社の企業文化と大いに関係があります。

「ちょっとまて。わが社には非常に優れた企業文化がある。社員はみな満足して熱心に仕事に取り組んでいる!」 

たしかにそれも企業にとって大事な文化でしょう。他方でエグゼクティブが、その作為の有無はさておき、従業員が組織内でイノベーションを推進したり、率直に意見を述べることを恐れたり、ためらったりする文化を生み出すことも多いのです。このことは、エグゼクティブが何としてでも自分たちの目指す生産目標を達成せよと強調することが原因になっている例が少なくありません。サイバー衛生が生産と同じぐらい重視されていなければ、「生産レベルを保つことがいちばん重要」という空気が生まれ、セキュリティを維持しようとする努力はこうした恐れに阻まれてしまうのです。

要するに「ひとは報復を恐れるとイノベーションを止めてしまう」ということです。    

以下に思い当たるフシはありませんか?

  • 生産には、どんなことがあっても影響を与えてはいけない。
  • 非常に面倒な変更管理を伴う厳格な審査委員会が存在し、セキュリティ関連の変更を含め、開発段階においても、変更には数日〜数週間どころか数週間〜数か月の時間がかかっている。
  • パッチがプロダクション環境に組み込まれるのに数か月、下手すると数年かかる。
  • 過去のセキュリティ対策での嫌な教訓がしつこく残ってポジティブな変更までできなくなっている。 
  • 経営陣がなにげなく口にした否定的コメントがあとあとまでずっと尾を引く。

皆さんの組織は以下のような「セキュリティ文化」をその基本理念として生み出せていますか?

  • (フィッシングがサイバー犯罪者によって最も悪用される脅威メカニズムであることを踏まえて)新しいフィッシング対策ツールが原因で電子メールが遅延しても、非難されることではないと理解をしめす。 
  • 新しく導入された東西方向のファイアウォールが原因で一時的にトラフィックが低速になっても、馘首すべき失態ではなくイニシアチブを発揮して新たな方法でトラフィックを検査した結果だと称賛する。
  • 自社のファイアウォール、CASB、エンドポイントプロテクション製品の設定は「誤検出が怖い」という理由から「監視/アラート」モードにしたりせず「ブロック」にしてある。
  • トラブルでチケットを生成すれば「平均解決時間(MTTR)」のメトリック増加する。それでも、「数字が悪く見えたりしないように」担当者がセキュリティ対策に購入したソリューションそのものの使用を取りやめる、などということはない。

「恐れは思考を鈍らせる」

経営陣が会話になにげなく否定的なコメントをはさんだだけで、実務レベルでの影響がでます。どんな企業も、軽やかにステップを踏むフレッド・アステアから、でくのぼうのフランケンシュタインになりさがってしまうのです。 

恐れと報復の文化は、上層部から始まります。逆にいえば、それらを止めるのも上層部の責任ということです。しかも暗黙的にそうするだけでは不十分で、上層部はわかりやすい言葉とその言葉を裏打ちする行動で、理解と見識を示せねばなりません。

大事なのは「合理的にリスクを受け入れ、従業員が責任を持ってイノベーションを推進しているなら、インシデントがあっても失職したりはしない」とはっきり伝えることです。上層部はサポートを提供することでこの約束を裏付ける必要があります。 

リーダーであるということ、それは「セキュリティ イノベーションで何か障害が発生してもその責任を引きうけ、イノベーションを起こし続ける」という見識を持つことです。 

より優れたエグゼクティブ文化を生み出す

それでは、スマートなセキュリティ文化を構築するためにエグゼクティブが実行できるシンプルな手順とは、どのようなものでしょうか。

  1. 横との関係を見直す。経営部門のメンバー同士、セキュリティのもつ爆発的で動的な性質や、企業に侵入しようとする脅威主体の執拗さについて理解しあっておくようにします。脅威攻撃者を完全に止められるものなど何もないということを覚えておいてください。です。トラブル発生に備えましょう。 
  2. 下との関係を見直すセキュリティ対策のために難しい決断にせまられる従業員にエグゼクティブが後ろ盾となることを理解させてあげてください。必ずです。ここに付け加えることなどありません。
  3. 先頭に立ってリードし、その後は道をあける。従業員は、責任を持ってリスクを冒しても職は安泰だと理解していなければなりません。このためには、何が問題かもわからない段階から、エグゼクティブが責任を引きうけ、従業員がイノベーションを進められるようにしてあげてください。それがエグゼクティブの役割です。 
  4. 社内で話されたこと、そのときの口調、何が行われたかを、特にプライベートな会話でしっかり気をくばる中間管理職がいちばん神経を尖らせるのは、自分たちの会話がエグゼクティブにだけ伝わる場面です。ここで「経営層は自分たちのセキュリティ対策やイノベーションを本当は支援したくなさそう」と伝わってしまえば、それがやがて全体に伝わり、組織は恐れの文化に逆戻りしてしまいます。
  5. 失敗を堂々と受け入れる完璧な人間はいません。エンジニアもただの人間です。失敗から学び、快く許し、前進しましょう。
  6. 可能な限りあらゆるものを自動化する退屈しているエンジニアは最も危険な存在となり、世界で最も勤勉な怠け者となることがあります。「どういう意味だ?」と思われるかもしれませんが、エンジニアの多くは20分でできる手順を自動化するのに丸1日を費やすことがあるということです。いいからそうさせておきましょう。そうした極めて退屈な仕事が片付けば、組織のセキュリティ成熟度を高めるほかの活動に取り組んでくれるようになります。 
  7. 社員と同じくらい勤勉に働く彼らは皆さんが勤勉に働いている様子を目にしていなければなりません。常にです。従業員にまじり、彼らに関心をよせ、親しめる存在でいてください。ただし、その場を離れて従業員の好きにさせてあげるタイミングもわきまえてください。そうすれば全社員からの献身という形で組織全体が恩恵を受けることでしょう。オフィスで自身を隔絶していると、引きこもり文化を助長してしまいます。エグゼクティブが職場で皆と交わることで、フィードバックが生まれます。 

エグゼクティブは「セキュリティは進化を続ける分野であり、そこにはアジャイルさと変化への寛容さが求められる」と理解している自らの立ち位置を、広く従業員に認識してもらうべきです。アジャイルな組織は、伝説のブルース・リーが語る次の名ゼリフを取り入れる準備ができているものです。

「心を空にせよ。型を捨て、形をなくせ。水のように、カップにそそげば、カップの形に。」

最新の優れたセキュリティアプライアンスは、セキュリティの「カップ」が完成した直後に変化することもありますし、「水」もその中に流れ込んでいる必要があります。インターネット上の脅威は本質的に非対称で[1]、インシデントはいつ発生するか、どのような形態を取るか、発生してみるまではわかりません。 

社内で計算されたリスクを許容する寛容さを持つことで、エグゼクティブは組織に成長へのモチベーションを与えることができます。 

それがなければ、セキュリティは二の次となり、自組織名がニュースの見出しに踊ることになります。そして他企業が次回のセキュリティ支出を正当化するさい、引き合いに出されるというリスクを冒すことになります。 

セキュリティオペレーションを改善する方法の詳細については、弊社のシリーズ記事“Elements of Security Operations (セキュリティオペレーションの要素)”も合わせてお読みください。

非対称戦争(軍事用語): 交戦者間の軍事力に大差のある紛争では、静的防御の妨害を目的に攻撃間隔がイレギュラーになったり、攻撃経路が大幅に変更されたりすることがある

Bruce Hembreeは、パロアルトネットワークスのCortex分野のCTOです。

Andre Ludwigは、Bricataの最高製品責任者です。

Sasha Hellbergは、Bell Canadaの脅威インテリジェンス担当シニアマネージャーです。