セキュリティを絶対値で測定することをやめるべき時が来た。セキュリティチームは、完璧を目指す全てか無かのポリシーによってリソースを圧迫している。リスク評価をガイドする文脈と指標は常に変化しており、セキュリティチームとしての進捗をどのように測定するかについても理解が進化している。完璧を目指す標準的なセキュリティポリシーは、達成可能な目標を見失っている。業界では、「全ての高リスクの脆弱性は10日以内に対処する」とか「全ユーザーのアクセスは四半期ごとにレビューする」などのポリシーがあるが、これらは100%の達成を目指すもので、その目標が達成可能か、またそのために必要なリソースについての議論が欠けている。
通常、セキュリティチームはその目標を70%の確率で達成するが、これは失敗と見なされる。チームはしばしば、目標の100%を達成しようとして、過剰なリソースを費やすことになる。業界は、プログラムを指揮するポリシーと指標を再評価し、それらが現実的であるか、また正しい測定値であるかを決定する必要がある。
1. リスク許容度を決定する
2. 柔軟で達成可能な目標を設定する
3. 定期的に再評価する
これらのステップを踏むことで、セキュリティチームは完璧を目指すのではなく、進捗を目指すべきである。リスクに関する決定は、ビジネスリーダーや取締役会との間での会話を通じて行われるべきである。完璧はこの業界ではほとんど達成不可能であり、その絶対を目指すことはより多くの害を及ぼす可能性がある。代わりに、進捗に焦点を当て、現実的な目標を設定し、そこに到達するための小さなステップを踏み、最適なリスク軽減レベルに達するまでバーを上げ続けるべきである。
【ニュース解説】
セキュリティ分野において、完璧を目指す「全てか無か」のポリシーが、実際にはリソースを圧迫し、達成可能な目標から目を逸らさせているという問題が指摘されています。このようなポリシーは、全ての高リスクの脆弱性を短期間内に対処する、全ユーザーのアクセスを定期的にレビューするといった、100%の達成を目指すものですが、実際にはその目標を達成することが困難であり、セキュリティチームは目標達成のために過剰なリソースを費やしてしまうことがあります。
この問題に対処するために、セキュリティ業界はポリシーと指標を再評価し、より現実的で達成可能な目標を設定する必要があります。そのためには、まずリスク許容度を決定し、次に柔軟で達成可能な目標を設定し、最後に定期的にこれらを再評価することが重要です。
リスク許容度を決定することで、セキュリティチームは全てのリスクを完璧に管理しようとするのではなく、最も重要なリスクに焦点を当てることができます。また、柔軟で達成可能な目標を設定することで、セキュリティプログラムが実際に改善されているかどうかを評価することが可能になります。そして、定期的な再評価によって、変化する脅威やビジネスのニーズに応じて、ポリシーと目標を調整することができます。
このアプローチにより、セキュリティチームは完璧を目指すのではなく、進捗を目指すことができます。これによって、リソースをより効率的に使用し、全体としてのリスクを減少させることが可能になります。また、ビジネスリーダーや取締役会との間でリスクに関する会話を行うことで、セキュリティがビジネスの目標とどのように整合しているかを明確にすることができます。
このようなアプローチは、セキュリティ業界における新たな標準となる可能性があり、セキュリティチームがより現実的で効果的なセキュリティ対策を実施するための道を開くことになるでしょう。
from It's Time to Stop Measuring Security in Absolutes.
