セキュリティチームがツール購入時に犯す最大の誤りは、ツール購入をプログラム管理と混同することである。セキュリティプログラムが何を意味し、何を達成しようとしているのかに焦点を当てるべきである。セキュリティツールは、セキュリティプログラムの一部であって、プログラムそのものではない。
セキュリティツールの誤解と限界について、プログラムを最初から最後まで計画しないと失敗につながる可能性がある。セキュリティチームはしばしば、セキュリティツールが包括的なセキュリティプログラムであるという誤解に陥る。組織はソフトウェアの脆弱性を修正するのに数週間から数ヶ月を要し、セキュリティ侵害の3分の1では、侵害が発生する前に修正が必要であることが既に知られていた。
効果的なセキュリティプログラムを構築するためのベストプラクティスとして、セキュリティプログラムは「情報セキュリティ、脆弱性、脅威に関する継続的な認識を維持し、組織のリスク管理決定を支援する」と定義される。セキュリティプログラムは、なぜこれが必要か、何をするべきか、いつ、どのように、誰が行うかを答えるものである。
ステークホルダーのセキュリティプログラムへの関与は、セキュリティチームの成功の大部分を占める。ステークホルダーの買い込みとコミットメントを得ることができなければ、ほとんどの購入は失敗する。脆弱性管理は、強力なセキュリティプログラムの核となるコンポーネントであり、セキュリティツールのほとんどに適用される。
セキュリティツールは、堅牢なセキュリティプログラムの代わりにはならない。計画なしに建設ツールを購入し、建設を始めることはない。計画がなければ、効果的で価値のあるセキュリティツールを確実にするセキュリティプログラムが必要である。
【ニュース解説】
セキュリティチームがツール購入時に犯す最大の誤りとして、ツール購入をプログラム管理と混同してしまうことが挙げられます。つまり、セキュリティツールを単なるツールとしてではなく、セキュリティプログラム全体の一部として捉えるべきだということです。この誤解は、セキュリティツールが全てのセキュリティ問題を解決する万能の解決策であるかのように錯覚させることがありますが、実際にはそうではありません。
セキュリティプログラムを効果的に構築するためには、情報セキュリティ、脆弱性、脅威に関する継続的な認識を維持し、組織のリスク管理決定を支援することが重要です。これには、セキュリティプログラムが何を目的としているのか、どのように達成するのか、誰が関与するのかを明確にする必要があります。
ステークホルダーの関与は、セキュリティプログラムの成功に不可欠です。エンジニアリングチームなどの主要なステークホルダーとの関係構築と買い込みが、セキュリティチームの成功の鍵を握ります。また、脆弱性管理はセキュリティプログラムの核心であり、セキュリティツールのほとんどに適用されます。脆弱性を特定し、評価し、優先順位を付け、対処することは、継続的なプロセスであり、定期的な監視と更新が必要です。
このニュースから学べることは、セキュリティツールがセキュリティプログラムの代わりになるわけではないということです。セキュリティプログラムは、ツールだけでなく、人、プロセス、目標を含む包括的なアプローチが必要です。計画なしにツールを購入することは、効果的なセキュリティ対策を構築する上での障害となり得ます。したがって、セキュリティツールを購入する前に、セキュリティプログラムの基盤をしっかりと築くことが重要です。
このアプローチは、組織のセキュリティを強化し、脆弱性に迅速かつ効果的に対応する能力を高めることに寄与します。また、ステークホルダーの関与を確保し、セキュリティ文化を組織全体に浸透させることで、セキュリティプログラムの成功率を高めることができます。セキュリティは単なるツールの問題ではなく、組織全体の取り組みであることを理解することが、より安全なデジタル環境を実現する鍵となります。
from The Biggest Mistake Security Teams Make When Buying Tools.
