.jpg)
何年もの間、「クラウドセキュリティ」を定義するものは、リソースの設定ミスを修正し、最小特権アクセスを強制することに集中してきた。これらのプラクティスは直感的に理解できる。結局のところ、最小特権を念頭に置いてクラウドが正しく設定されていれば、クラウドはセキュアに違いないだろう?
しかし、この焦点が私たちを迷わせているとしたらどうだろう?
現実には、コンフィギュレーションの完璧さへのこだわりは、私たちが考えているほど影響力がないかもしれない。設定ミスを是正することは重要だが、誤った安心感を与え、多くのエネルギーを費やすことになり、クラウド・リスクへの全体的な対処から注意をそらすことにもなりかねない。
クラウドセキュリティにおける「速く考える」ことの隠された罠
クラウドセキュリティに対する直感が、私たちを間違った方向に導いているとしたらどうだろう?
直感に頼る脳の傾向を理解することは、リスクに基づく意思決定におけるエラーを軽減するために極めて重要である。ダニエル・カーネマンの研究1が示すように、直感はしばしば誤った信頼につながる可能性があり、特に複雑なクラウドセキュリティ環境を管理する際には危険である。
私は、多くの組織が直感に基づいて行動し、設定の誤りや最小特権アクセスの追求がクラウドセキュリティ活動の範囲を定義していると考えていることを観察している。この直感は「正しいと感じる」ものであり、カーネマンがシステム1思考と呼ぶものの一例である。
リソースの設定ミスを修正することに集中するのは自然なことだが、このアプローチはセキュリ ティ戦略に盲点を生じさせる可能性がある。この方法を過信するあまり、他の重要な管理策を見落としてしまう可能性がある。
ポスチャー・パーフェクト」がしっくりくる理由
クラウドの設定ミスを修正することで、即座にフィードバックループが生まれる。問題が解決されるたびに、チェックリストのタスクを完了したときのドーパミンのような達成感が得られる。セキュリティチームは生産性を感じ、ダッシュボードは減少傾向を示し、リスクが減少しているという確信を強める。
何かを測定すれば、自動的にそれが意味のあるものになるわけではありません。クラウドセキュリティは、設定の修正にとどまらず、進化する脅威の状況、拡大する攻撃対象領域、敵が使用する戦術をより深く理解する必要がある。最終的に、これらの取り組みは、コンプライアンス・ボックスをチェックするだけでなく、組織の実際のサイバー・リスクを最小化するという、より大きな目的を果たすべきである。
確証バイアスの問題点
私たちは、すでに信じていることを裏付けるデータしか考慮していないのだろうか?
確証バイアスは、セキュリティチームを既存の信念に沿った活動に集中させる。安全なクラウドに必要な活動は、誤設定への対処と最小権限の追求だけであると組織が思い込むと、優れたクラウドガバナンス、リカバリ能力、レスポンス、リスク低減のための他の機会を見落としてしまう可能性がある。
この偏見は、毎年の業界動向報告書、セキュリティ・ツール、コンプライアンス・チェックリストが、さまざまな管理策によるサイバーリスクへの対処よりもベンダー定義の作業を優先していること、つまりベルトとサスペンダーのアプローチによって強化されている。
その結果、セキュリティチームは軽微な問題の是正に過剰な時間を費やし、是正のロングテールに過度の焦点を当てる一方で、組織の他の機能が未熟なまま、クラウドセキュリティインシデントへの備えが不十分なまま放置される可能性がある。
指標に惑わされるとき
指標は、「どのように取り組んでいるか」という問いに答えるためのものだが、特に、より大きな目標に対してではなく、特定のタスクの進捗を測定する場合、バイアスを強める可能性もある。同様に、ダッシュボードはしばしば、オープンミスコンフィギュレーションの減少やコンプライアンススコアの改善を強調するが、これらの数値は必ずしも現実のリスクの低減と相関しない。
例えば、CSPMツールは時間の経過とともにミスコンフィギュレーションが大幅に減少することを示すかもしれないが、これは攻撃者が環境を悪用する機会が減少したかどうかを示すものではない。適切なコンテキストがなければ、これらのメトリクスは誤解を招く可能性がある。
相関関係≠因果関係クラウドセキュリティ年次報告書
どれだけの安全保障統計が脈絡なく取り上げられているのだろうか?
業界のレポートでは、次のような憂慮すべき統計が頻繁に取り上げられている:
- "61%の組織で、MFAなしのルートユーザーまたはアカウント所有者がいる"
- 「AWS Sagemakerユーザーの82%はノートPCをインターネットに接続している。
これらの記述は、組織が重大なリスクにさらされていることを暗示している。しかし、文脈は重要である。
MFA が設定されていないルートユーザは、適切に管理された AWS 組織の安全なパターンかもしれない。 一般に公開されたサービスには、公開されたエンドポイントのリスクを軽減するために、ID ベースの、または検知による追加のコントロールがあるかもしれない。
脅威レポートにおける揮発性データサンプルの危険性
セキュリティ・チームは、統計的な有意性を疑うことなく、業界のレポートの変化に反応することがよくある。ある年に最も一般的な攻撃ベクターとして46位にランク付けされたテクニックが、次の年には4位に急上昇し、警戒とリソースの動員を引き起こすかもしれない。
しかし、これらのランキングの背後にあるデータは、多くの場合、単一のセキュリティ・ベンダーの顧客ベースからの限られたサンプル・サイズに基づいています。さらに、分析対象顧客数が年々大きく変化する場合、その傾向は誤解を招く可能性がある。
Verizon Data Breach Investigations Report (DBIR)のような広く評価されているレポートでさえ、年々参加件数が変動していることを挙げて、データソースの限界を認めている2。そのため、企業は、不安定なデータ・ソースから得られた傾向を、セキュリティに関する意思決定のために使用する前に、批判的に評価する必要があります。
ゆっくり考える」モードでクラウドセキュリティを決定する
セキュリティ組織のために持続可能な意思決定を行うには、ダニエル・カーネマンがシステム2思考と表現しているように、ゆっくり、じっくり、論理的に考えるようにならなければならない。
迅速で、無意識的で、ミスを犯しやすいシステム1とは異なり、システム2は、意識的で、努力的で、信頼できる複雑な意思決定を可能にする。組織は、システム1のレスポンス設定ミスのアラートにいちいち反応するのではなく、一歩下がってシステム2を活用し、リスクを総合的に評価しなければならない。
ということだ:
- ガバナンスから検知、レスポンス 、復旧に至るまで、セキュリティ組織の全機能を意識的かつ意図的に関与させる。
- 努力分析を通じて脅威の可能性と影響を考慮し、努力の優先順位を決定する。
- 消極的な考え方から戦略的なアプローチに移行することで、セキュリティチームは、現実のリスクに沿った、より良い情報に基づいた信頼性の高い意思決定を行うことができる。
姿勢の完璧さを優先することの機会費用
どのような意思決定にも機会費用がかかるが、セキュリティ組織において取り組みの優先順位を決定する場合にも、それは同じである。このことは、セキュリティ組織において取り組みの優先順位を決定する際にも当てはまる:
- 脅威の検知とレスポンス。
- セキュリティの自動化とオーケストレーション。
- ガバナンスとリスク管理
ビヨンド・ポスチャー・パーフェクト
組織は、クラウドセキュリティに対する単刀直入なアプローチでは見返りが少なくなることを認識すべきである。コンフィギュレーションの完璧さを執拗に追求することは、より広い視野とのバランスを取る必要がある。
改善された誤設定の単なる件数など、既存のバイアスを強化する測定基準には懐疑的であれ。その代わりに、全体的なリスク低減と回復力を測定するメトリクスを作成し、セキュリティ態勢を反映させる。
複雑な環境におけるリソースの割り当てと意思決定の指針として、NISTサイバーセキュリティフレームワークのような確立されたフレームワークを活用し、セキュリティへの全体的なアプローチを確保する。さらに、孤立したクラウドセキュリティチームに過度な負担を強いることは避ける。その代わりに、組織全体をクラウドリスクのオーナーシップに巻き込み、責任を共有する文化を醸成する。
参考文献
[1]:ダニエル・カーネマン Thinking:ファスト&スロー https://www.goodreads.com/book/show/11468377-thinking-fast-and-slow
[2]:Verizon Data Breach Report -2024: https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf