多くのテクノロジー・リーダーやリスク・リーダーのビンゴ・カードは、今年もまたサプライ・チェーンが危険にさらされる可能性がある--ましてやSolarWindsよりも大きな影響を及ぼす可能性がある--というマスを空けてスタートすることはなかった。しかし、XZUtilsの バックドアの埃はバックミラーに映るほど遠く、潜在的な消火活動は過ぎている。しかし、XZUtilsバックドアの影響はまだ十分に身近にあり、私たちに反省の機会を与えてくれている。
具体的には、私たちが眠れぬ夜を過ごす主な要因の1つである「未知への恐怖」について考えることです。企業のセキュリティ・リスク管理(ESRM)では、未知のリスクこそが あなたを沈没させる。
なぜか?未知のリスクはほとんど管理されず、したがって効果的に対処されないからだ。良くて少量であれば、保険を通じて非効率的に移転される。最悪の場合、今日の意欲的で破壊的な脅威行為者の手にかかると、それらは有害な見出しや毎晩のニュースの餌食となる。
企業のリスク・セキュリティ管理のために何を学ぶべきか?
アンドレス・フロイントというやる気満々のマイクロソフトのエンジニアが、最初は良さそうなパフォーマンス問題のトラブルシューティングを行っていたところ、セキュリティ上のウサギの穴に深く入り込んでしまい、とんでもないことが発覚した。彼は最終的に、国家並みの長期的な戦略計画を持つ悪意ある行為者を阻止し、多くの人々の手間を省いた。
これは、第一に、正式な予防措置やコンプライアンス努力ではこのリスクを軽減できなかったこと、第二に、この勝利が正式なセキュリティ・プログラムや階層の外で起こったという点で注目に値する。これは、未知のリスクの管理に真剣に取り組むすべてのリーダーが推進すべき2つの文化的要素を例示している:好奇 心と協調性である。
なぜこのような文化的価値観が未知のリスクを管理するのに効果的なのか?その答えは、類推するのが一番わかりやすい。
未知のリスクを抱える氷山と未知の岩礁を管理する
現実には、未知のリスクは通常2つの形態に分かれる。1つ目は、特定されたリスクに似ているが、氷山のように日常的な発見対策の水面下に潜んでいるものだ。もうひとつは、未知のサンゴ礁のようなもので、完全に水面下に存在し、ビジネスのある側面に特有のものである。
この2つのうち、氷山は 最もわかりやすい概念である。なぜなら、私たちの多くは、よく理解されてはいるがとらえどころのないリスク、つまり、存在することはわかっているが発見されていないリスクについて、企業におけるパターンを認識しているからである。このようなリスクのほとんどは水面下に潜んでいるが、どこに(いつ、どのように)目を向ければよいかがわかれば、発見可能な兆候を見つけることができるという利点がある。これらのリスクに文化的に対処するには、標準的な意思決定プロセスを再考する必要がある。従来のチェックリスト、脆弱性の発見、侵入テストの限界を認識しなければならない。このような世界的に確立され、受け入れられているリスク管理の原則は、信頼できるリスクフロアを提供するという点では価値があるが、決して天井を覆っていると勘違いしてはならない。
好奇心を優先する企業文化は、明確に定義された問題を毎年探求することに満足しない。その代わりに、チームはリスクマネジメントの決定を継続的に評価し、前提に異議を唱え、時には常識にとらわれないことを選択する。実際的には、このような文化は、より全体的なリスクマネジメントのための継続的な改善に重点を置いている。ツールや人間の直感を組み合わせて、保護、検知、レスポンス 、リカバリーの全チェーンにわたってテストと検証を行う。協働を奨励することで、平凡な制約を超えた探究、調査、ハンティングにより、リスクの氷山を発見 する意欲を高めることができる。
一方、未知の岩礁は、完全に水面下に存在するリスクの一種である。これらの問題は、チェックリストやフレームワーク、いわゆるベストプラクティスには適合しないが、従業員全体が集合的、本能的なレベルで理解していることが多い。そして、このようなリスクの性質そのものが、ビジネスの総合的な要因の副産物であるのに、なぜ驚く必要があるのだろうか?一例として、サプライチェーン、ビジネスモデル、社内技術スタック、シャドーITのような要因の蔓延などの組み合わせはすべて、複雑かつ相互に関連した形でビジネスリスクに影響を与える可能性があります。
このような複雑な要因の全容をトップダウンで予測することは、特にサイロ化、政治的領分、組織の孤立が蔓延している企業組織では、実現不可能なことが多い。繰り返しになるが、文化的価値観としての好奇 心とコラボレーションは、このような文化的境界を越えることを奨励し、従業員に集団的なドメインの専門知識、知識、経験を通じてリスクを特定し、優先順位をつける真のチャンスを与えることで、あなたの利益に働く。このようにして、成功する組織は、損害が発生するずっと前に、リスクを組み立て、特定し、軽減するのである。
実際には、このアプローチは、中央集権的なリスク管理は必要ではあるが、すべてのユースケースにおいて十分ではないことを認識している。結局のところ、リスク自体は組織的に分散している。セキュリティチャンピオンプログラムや意識向上やトレーニングのような形式的な取り組みは貴重ではあるが、オープンなコミュニケーションラインやアクセスラインの重要性に勝るものではない。このようなリスクを発見し、管理するためには、有意義な関係を育むことが重要である。
守備を強化するために、文化に焦点を当てる
そう、未知のリスクを管理するためには、文化的な努力だけでは不十分なのだ。しかし、文化的な取り組みがなければ、どんなに優秀な人材でも長い道のりを歩むことになる。だからこそ、野心的な文化を創造することが非常に重要なのだ。それは、現代の脅威に直面したときに俊敏性を発揮するための基盤となるだけでなく、社員の潜在能力を最大限に引き出す力を与えてくれる。そして、その土台を築いたことで、イネーブルメントとツールを最大限に活用できるようになる。
文化は非常に重要である。組織のセキュリティ対策は文化にかかっている。優先順位をつけることで、全員を成功に導こう。
何から始めたらよいかわからない?何千人もの SOC アナリストとアーキテクトが、Vectra AI Platform を使用して、検知 、優先順位を付け、複数の攻撃対象領域にわたる未知の脅威を調査し、対応しています。セルフガイドツアーでその仕組みをご覧ください。