*本記事は2021年7月22日にNTT Ltd. 社 Andrew Stewart が同社ブログに投稿した記事の抄訳です。
元記事:https://hello.global.ntt/ja-jp/insights/blog/security-through-obscurity-fact-or-fallacy/
明日の一番大きなサイバー脅威は?
8年程前、セキュリティコミュニティに入ったばかりの頃、新型コロナウイルスが全ての予定をキャンセルさせた前、参加していたイベントの一つで、「隠蔽によるセキュリティ」という言葉を聞いたことがある。当時、この言葉の重要さやこの格言がどのように今のセキュリティプロフェッショナルの思考構築に影響するかなどに気づいていなかった。でも、探求すべきことだと思う。
セキュリティコンサルタントとして、セキュリティ業界にリアルな価値を付加できるのはクライアントの本当のニーズを理解することや、解決策を取得する支援をすることだと思う。しかし、様々な説明文や思考論が、組織に採用されるサイバーセキュリティアーキテクチャにとても影響していることが頻繁に見受けられる。実際、もしそうでなかったら、何が影響するのだろうか?
私は、「隠蔽によるセキュリティ」が推論的な格言であるように、今まで多くの業界プロフェッショナルが複数のベンダーから様々な製品やハードルを実装し、サイバーセキュリティアーキテクチャを構築してきたのを見てきた。本質を見ていくと、この行動はベンダーや製品を多様に採用することで、より良いサイバーセキュリティアーキテクチャが構築できると推測しているのだ。表面的には、この方法は論理的だと思われるかもしれないが、本当にそうなのだろうか?この「隠蔽」のアプローチはどのようなトレードオフが待ち受け、どのような結果を生み出すのだろうか?もう少し深堀してみよう。
まず言えることは、最近の組織はサイバーセキュリティアーキテクチャを部分ごとに統合させることで、重複しているサイバーセキュリティや対応しなければならないベンダー数の削減、全体のノイズを軽減させるなど、アーキテクチャを簡易化させようとしていることが多い。
その次に、主観ではあるが、脅威に関する知見をサイバーセキュリティアーキテクチャ全体に共有することは防御能力を向上させるだけなのだが、サイバーセキュリティアーキテクチャ全体を通して別々のベンダーから様々な製品を実装することはその反対に相互共有能力を欠落させるのだ。例えば、次のようなシナリオを考えてみよう。もし最新のファイアーウォールとアンチウィルスソリューションを別々のベンダーから導入して、ネットワークのエンドポイントが攻撃されたら、本当にファイアウォールは攻撃されている状況を認知するのだろうか?もし認知能力を兼ね備えていた場合でも、エンドポイントは攻撃されていたのだろうか?このシナリオは、脅威に関する知見やセキュリティ能力を共有するアプローチを一貫して持ったサイバーセキュリティアーキテクチャと比べて、「隠蔽」のアプローチが本当に組織の大切なアセットを守護できるのか、疑問を持たせるのではないだろうか?
当然ながら、他にも様々なシナリオが思い浮かぶのだが、伝えたいことは、セキュリティの本当の実力は様々な製品を通した「隠蔽」のアプローチから来ているのではない、ということだ。何がどう守護されるべきかを理解するには、人、プロセス、テクノロジーを通して探るのがベストだ。一体、「隠蔽によるセキュリティ」の格言は我々にどんな目的を与えるのだろうか?
「隠蔽によるセキュリティ」は事実か誤りか?誤りだと思う。
もしピンク色の像を想像するなと言ったら、ピンク色の像を想像しないでほしい!我々が注目するところに、アプローチは注目をする。「隠蔽によるセキュリティ」の格言は一見論理的なため、大切なアセットを守護するに向けて良い結果が推測されることが多い。しかし、経験上、実際に運用をすると、この断片化されたアーキテクチャはサイバーセキュリティオペレーション全体を通して脆弱性をもたらし、場合によっては悪影響を及ぼしかねない。
そのため、サイバーセキュリティアーキテクチャ全体を通してサイバー攻撃防止の論を唱えるときは、新しく解決しなけらばならない問題を生み出しかねない古い格言に頼るのではなく、全体のイメージを見て、どのように21世紀の思考や最新のイノベーションを導入して、より良い結果を生み出せるのかを考える必要がある。
NTT Com DDが提供するセキュリティソリューション
当社では、Secure by Designをコンセプトに様々なセキュリティ ソリューションをご提供できます。当社のセキュリティソリューションの詳細はこちらをご覧ください。
また、ご質問やお問合せなどはお気軽に下記からご連絡ください。