ステファニー・ドマス氏は、人気のLinuxオペレーティングシステムであるUbuntuの開発元であるCanonicalの最高情報セキュリティ責任者(CISO)である。
最近、Crash Overrideの共同創設者であるマーク・カーフィー氏によるセキュリティ業界の「もぐらたたき」アプローチに関する興味深い記事を読んだ。この記事では、業界が長い間、脅威ごとに対応する反応的な「もぐらたたき」ゲームの無限サイクルに陥っており、緊急事態への対応に時間を費やし、それらを生み出す構造的な問題にはほとんど時間を割いていないことが強調されていた。
このCVE(共通脆弱性識別子)ごとの対応は非効率的で、反復的かつリスクが高い。結局のところ、すべての脆弱性が同等ではない:一部は深刻で即座の対応が必要だが、他は軽微でもパッチ適用に大きな労力を要する。
カーフィー氏は記事の中で、予期せず現れる「もぐら」(セキュリティ問題)を標的にするのではなく、「昆虫」(「もぐら」を引き寄せる構造的原因)に対処することを推奨している。これが彼の言う「セキュリティ殺虫剤」である:より良いセキュリティの基礎、共通ライブラリ、基盤的な制御を通じて、事前対応型の環境を構築すること—本質的には、根底にある「幼虫」を排除するために「殺虫剤」を適用することだ。幼虫に対処すれば、もぐらにも対処できる。
私たちは実世界でこのアプローチの成功を目にしている。例えば、マイクロソフトの「パッチ・チューズデー」は、混沌としたエンドユーザーへのパッチ適用を、戦略的で一貫性のあるアップストリーム操作に変えた。コンテナセキュリティにおいても、先進的なチームは個々のワークロードに常にパッチを当てることから脱却している。代わりに、彼らの「殺虫剤」は、管理されたコンテナレジストリからの信頼できる「ゴールドイメージ」を使用し、より一貫性を高め、パッチ適用の負担を軽減するためにアップストリームへの制御をシフトすることを含んでいる。
この類推は素晴らしい出発点だが、十分に踏み込んでいるとは言えない。
サイバー殺虫剤の問題点
一般的な庭を想像してみよう:それは多様な植物、土壌タイプ、生き物で構成されている。この複雑な環境に対処することは、「根本レベルの構造的手法」を用いても簡単な作業ではない。
例えば、根食い虫とアブラムシに同じスプレーを使うことはないだろう—あるいは殺虫剤が選択肢にならない場合もある(庭を受粉させるミツバチやチョウを傷つけたくない場合)。また、植物はもぐらや昆虫だけでなく、鳥、侵略的植物、ハタネズミ(虫ではなく根を食べる)からも脅かされている。最終製品も考慮する必要がある:庭や農作物が殺虫剤に浸かりすぎて何も育たなければ、何の意味があるだろうか?
この比喩をこれ以上広げずに言えば、これは以下を意味する:
• 殺虫剤は広範囲すぎることがある。 セキュリティ対策は環境全体に影響を与え、摩擦や望ましくないユーザー/開発者の行動を引き起こす可能性がある。
• 殺虫剤は十分に特定的でないことがある。 広範囲すぎる対策は、個別の対応を必要とする特定の脅威を捉えるには希薄すぎる可能性がある。
• 殺虫剤は万能の害虫駆除ではない。 基盤的なセキュリティリスクのみに焦点を当てると、IT関連でない脅威(ソーシャルエンジニアリング、組織の不適切なプロセスなど)を見逃す。
• 殺虫剤は肥料、灌漑、土壌の健康などの他の構造的問題を解決しない。 より良いセキュリティは脅威だけに焦点を当てるべきではなく、より迅速な開発、新しいツールの実験、革新的な実践を促進すべきである。
• 殺虫剤は土壌を傷め、最終製品を毒することがある。 セキュリティ要件における高い摩擦は、柔軟性のない製品を生み出し、イノベーションを抑制する可能性がある。
• 時には、もぐらをたたく必要がある。 重大かつ高リスクの脆弱性は常に発生し、特に新しく完全に予測不可能な攻撃方法が発見された場合には、即座の修正が必要となる。
サイバー殺虫剤からサイバー農学へ
農家は、優れた庭が単なる昆虫管理以上のものであることを知っている。そのため、彼らは農業を複数の要素—土壌組成、微量栄養素、環境要因など—にわたって包括的に見て、より健康な庭でより多くの作物を育てる。この複雑なアプローチは農学と呼ばれ、私はこれがサイバーセキュリティにより適用可能な類推だと感じている。
私の見解では、サイバー農学はセキュリティに対するよりリスク重視かつ体系的なアプローチである。それは垂直的かつ水平的に考え、デジタルエコシステム内の複雑な依存関係を理解し、単にCVEの影響を減らすことを超えて、革新的、実験的、持続可能な実践を真にサポートする運用環境を作り出すことである。
確かにより多くの作業が必要であり、はるかに広い範囲が求められる。しかし、その結果は絶対に価値がある:セキュリティの「化学物質」の過剰適用によって無菌状態に近い環境ではなく、成長とイノベーションを育む安全な環境である。それは単にコンプライアンスを満たすだけでなく、真に耐性があり、可能性を広げるセキュリティ体制を達成することである。
サイバー殺虫剤からサイバー農学への移行
ルール1:殺虫剤はまだ必要…
基本に重点を置くことは依然として重要である。この記事は、攻撃やその他のサイバーインシデントに対するシステム抑止力としての「殺虫剤」の重要性を軽視するものではない。
…しかし、もぐらをたたく必要もある。
脆弱性は死と税金のようなものだ。一日中もぐらをたたくことが最も効果的な行動方針である時もある。
リスクプロファイルについて科学者のように考える。
農家は無限のお金や時間を持っておらず、サイバーセキュリティも同じである。ゼロ脆弱性は不可能なので、あなたの仕事はすべてリソースに対するリスクのバランスを取ることである。堅実なリスク評価プロセスは、すべてを限界まで引き伸ばすことなく、最大の収穫を得るためにどのような種類のハンマー、殺虫剤、肥料が必要かを定義するのに役立つ。
環境のばらつきを減らす。
それぞれに特別なハンマーが必要な1000匹のもぐらに対処したくはない。ユニークなコンポーネントはそれぞれ、システムをより複雑にし、維持に時間がかかるようにする。繰り返し可能な基本ビルド(チャームなど)を通じて複雑さを減らし、ハードウェア、ソフトウェア、サービスの共通基準を設定し、すべてのパッケージを単一の検証済みベンダー(理想的にはOSを通じて)から調達すべきである。
全員のトレーニングを強化する。
セキュリティは全員の責任であり、アプリケーションセキュリティは単なるセキュリティ設定の集まりではない。サイバーセキュリティとコンプライアンスを真剣に考える組織は、サイバーセキュリティを全員の仕事の一部にする堅牢で包括的な全社的トレーニングを持つべきである。
本質的に、「サイバー殺虫剤」はCVEごとのもぐらたたきゲームが持続不可能であることを理解するのに役立つ。しかし、「サイバー農学」はより包括的で科学的なアプローチを提供できる—殺虫剤やもぐらたたきのような概念に基づきながらも、サイバーセキュリティが運用される広範なエコシステムに対処する(そして時には、一日中もぐらをたたくことが必要な場合もあることを理解しつつ)。
