新年の抱負を考える時期がやってきた。私は新年の決意を立てることが好きだ。友人や家族から、オンライン詐欺から身を守るために何をすべきかとよく聞かれる。それについては最近書いたので、ここでは繰り返さない。要点は、個人情報を求める外部からの連絡要請を決して信用しないことだ。
企業のセキュリティ担当者から、一般的に何をすべきかと聞かれることはあまりない。その代わり、何か新しい高度なセキュリティカテゴリが価値があるかどうかを聞かれる。答えは常に「場合による」だ。しかし、この質問をされたいと思っている。なぜなら、組織がより安全になるために採用できる、比較的わかりやすい2つの考え方があるからだ。では、始めよう。
進化し続ける/コモディティ化を味方につける
企業セキュリティにおいて最も意気消沈させられる(そして予算を圧迫する可能性のある)側面の1つは、最新の脅威に対処するためにセキュリティ予算を増やし続ける必要があるという永続的なサイクルだ。最高財務責任者(CFO)はこれを嫌い、なぜ前回の対策で解決しなかったのか、そして永続的な予算増加はいつ止まるのかと正当に問う。答えは「脅威が変化したから」と「簡単なものを統合しなければ止まらない」だ。
今年見た中で最も興味深いセキュリティレポートの1つが、最初の点を明確にしている。このレポートは、基本的なサイバーセキュリティ対策(多要素認証、特権アクセス管理、バックアップ、トレーニング、メールセキュリティフィルタリング、エンドポイント検知・対応)の有効性と、2019年から2023年までの保険損失を追跡した。全体として、これらのセキュリティ対策の有効性は、この期間に96%から48%に低下した。
潜在的に憂鬱な結果ではあるが、サイバーセキュリティの敵対的な性質を考えれば、この結果はそれほど驚くべきものではない。攻撃者には目標がある。それはセキュリティ防御を回避することだ。特定の対策が当たり前になると、攻撃者は集団として目標を達成するための新しい方法を考え出さなければならない。概して、彼らはこれを実行し、その結果、新しい対策が必要になる(そして最終的には新しい方法などが必要になり、絶え間なく増加するサイクルとなる)。
ここでの私のアドバイスは2つある。第一に、この現実を受け入れることだ。変わる可能性は低い。第二に、サイバーセキュリティ製品のコモディティ化(プラットフォーム化と言う人もいる)を利用して、基本的な対策をより安価な機能バンドルにまとめることだ。そして、解放された予算を使って、自社のビジネスに関連する最先端のソリューションプロバイダーから製品を購入する。
AIを賢く活用する/苦痛のハムスターホイールから抜け出す
苦痛のハムスターホイールは、2005年にアンドリュー・ジャキス氏が最初に提唱した脆弱性管理の概念だ。悲しいことに、それは今も続いている。基本的な概念は、セキュリティ担当者が永遠に、防御の穴を見つけ出し、それらすべてを実行可能な形で修正するリソースや権限を持たず、最終的には対応すべき侵害に終わるというサイクルに陥る運命にあるというものだ。CFOの財務的ニヒリズムと同様に、このダイナミクスは意気消沈させられる可能性がある。サイバーセキュリティとAIの進歩のペースを考えると、新たな脅威のスピードが増し、ハムスターホイールはますます苦痛なものになっている。
考え方の変化(これについても私は最近書いた)は、脅威ベースのリスク優先順位付けから、運用への影響に基づく脆弱性修復へと移行することだ。そして、AIを使ってこれらの取り組みを強化する。AIはリソースの制約を緩和し、運用の考え方は権限の欠如に対処する(これはほぼ常に、修復措置のビジネスへの影響に関する懸念と結びついている)。
セキュリティトレーニングを価値あるものにする
これら2つの考え方の変化は、セキュリティチームがサイバー脅威から組織を守るという厳しい現実に対処するのに役立つ。しかし、私は常にリストは3つで構成されるべきだと教えられてきたので、もう1つ追加する。
ほぼすべての組織が最終的にサイバーセキュリティトレーニングを必要とする段階に到達する。それは今や基本的な対策と見なされているからだ。問題は、それが機能しないことだ。カリフォルニア大学サンディエゴ校のチームは最近、フィッシングや詐欺のトレーニングが従業員の脆弱性を減らすかどうかをテストした。減らさない。(この結果は、Canopiusの結果と広く一致している)。
他の分野と同様に、セキュリティトレーニングにおける考え方の変化が役立つ可能性がある。ますます巧妙化するフィッシングや詐欺キャンペーンを認識するようユーザーをトレーニングする代わりに、これらのキャンペーンの目標を妨害するポリシーを実装し、ユーザーにポリシーに従うようトレーニングする。消費者向けの私の要点は一例だ。連絡を開始した相手に個人情報を決して提供しなければ、脅威を認識する専門家である必要はない。これの企業版は、承認された企業コミュニケーションチャネルからの要求の確認を常に要求することかもしれない。
結論として結論はない
ここにゴールはない。2026年は新たな脅威、新たな略語、そしていくつかの潜在的な「ゲームチェンジング」技術をもたらすだろう。考え方を調整し、戦いを選び、適応する。それが攻撃者が使っているプレイブックだ。
