セキュリティツール過多の悩み
この記事はもともと セキュリティ・ブールバード.この記事は更新され、ここにシンジケートされている。
私たちの心理には、良いものをより多く持つことは、さらに良いことであるという考えが根付いています。もし、あなたが本当に好きなものを1つ持っているなら、2つ、3つ、あるいはそれ以上持っていても何も問題はありません。結局のところ、良いものは多すぎるということはないのです。
残念なことに、その論理はいくつかのことには有効だが、音量が大きくなるとすぐに破綻する場合がある。場合によっては、収穫の減少を経験し始める。その13個目のチョコレートケーキは、果たしてどれだけの付加価値や喜びをもたらしてくれるのだろうか?また、良いものを増やしすぎると、あなたやあなたの組織にとって重大なリスク・プロファイルになる場合もある。
多すぎるサイバーセキュリティツール
近年、ほとんどの組織で制御不能になったサイバーセキュリティ・ツールが、「良いこと」が「悪いこと」になりつつある。Dark Reading誌の調査によると、ほとんどの最高情報セキュリティ責任者は、自社のネットワークを保護するために、平均55から75の異なるセキュリティ製品やアプリケーションに依存しているという。それでもなお、攻撃はまだ突破されている。Verizon 2023 Data Breach Investigations Report(ベライゾン2023年データ侵害調査報告書)によると、成功した攻撃は増加傾向にあり、その中でも最も複雑なものは検知にこれまで以上に時間がかかっている。
攻撃者は、表面的には75以上のサイバーセキュリティ・ツールからなる不可能と思われる難関をどのように突破するのでしょうか。実際、攻撃者がアラームを作動させることはよくありますが、人間の防御者は防御ツールの保守や毎日何千ものアラートへの対応に追われ、それに気づくことはできません。多くのセキュリティ・ツールを導入することは、攻撃者が発見されないようにするために必要な隠れ蓑を提供することになるのです。
TechRadarの最近のレポートでは、サイバーセキュリティ・ツールが多すぎることがもたらす悪影響が強調されています。調査対象となった企業のうち71%が、サイバーセキュリティ・チームが管理しきれないほど多くのツールを保有していると感じています。このため、ツールの追加に伴い、セキュリティ・ポスチャーが悪化しているのが実情です。実際、ツールが多ければ多いほどセキュリティが向上するという考えとは裏腹に、調査対象の圧倒的多数の企業が、環境全体にインストールされたすべてのサイバーセキュリティ・ツールのために、セキュリティが大幅に低下していると感じていると回答しています。
この状況は、ほとんどの組織でクラウドへの大規模な移行が進んでいるため、悪化の一途をたどっています。ネットワークに多数のサイバーセキュリティ・ツールを導入し、あらゆる攻撃経路をカバーすることが普及した理由の1つは、ほぼ完全にオンプレミス型の資産の時代には、この戦略がある種の成功を収めたからです。つまり、少なくとも組織は、それほど早く収穫の減少や悪影響に直面することはなかったのです。しかし、クラウド環境では、ツールを追加すればするほど、より複雑で脆弱な問題が発生します。
重複するツールのメンテナンスにかかる作業に加えて、ツール中心のアプローチにおけるもう1つの大きな問題は、より多くのツールがオンラインになるにつれて確実に発生する誤検出の海である。誤検知を追跡していると、人間のセキュリティ担当者の時間が奪われ、組織には何の利益ももたらされないことになります。その一方で、本物の攻撃は誤報の中に簡単に隠れてしまうのです。サイバーセキュリティの専門家は、手遅れになるまで本当の脅威を見つけることができないかもしれません。
より良い方法
環境からすべてのセキュリティ・ツールを取り除いてしまうのは、非常に危険なことです。しかし、あまりに多くのツールを導入しすぎて、本当に役立つ重要なツールに十分な注意が払われなくなるのも困りものです。重要なのは、適切なツールの選択をすること、そして、ツールの数が多すぎて時間やリソースを浪費することがないようにすることです。
ツールの統合を成功させる鍵は、同時にセキュリティに対する人間主導のアプローチに投資することです。これには、従来はそのような役割に配備されていなかった資産、すなわち攻撃者に狙われているアプリやソフトウェアのコーディングに従事する開発者チームの活用も含まれるはずです。
従来、開発者はセキュリティの担当ではありませんでしたが、この状況は変わりつつあります。実際、開発者にセキュリティに集中するよう促すことは、全員が安全なアプリケーションの配備に何らかの責任を負うという、DevSecOps 運動の重要な側面である。開発者が突然セキュリティの専門家になったり、組織のセキュリティの主要な責任を負うようになるとは誰も思っていませんが、安全なコードの書き方を教え、よくできた仕事には報酬を与えることは、重複するすべてのセキュリティツールを排除するための舞台を整えるのに長い道のりを歩むことができるのです。
優れた安全なコードから始めれば、一般的な悪用や脆弱性をスキャンするために設計された何百ものサイバーセキュリティ・ツールのいくつかを簡単に排除し始めることができるのです。最終的には、開発者が安全なコードを作成する環境を育成し、厳選されたいくつかのサイバーセキュリティ・ツールは、セキュリティ・チームが監視と保守を行いやすい追加チェックとして機能し、良いはずのものに過度の負担をかけることはありません。
もっと詳しく知りたい方はこちら
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
マティアス・マドゥ博士
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
セキュリティツール過多の悩み
この記事はもともと セキュリティ・ブールバード.この記事は更新され、ここにシンジケートされている。
私たちの心理には、良いものをより多く持つことは、さらに良いことであるという考えが根付いています。もし、あなたが本当に好きなものを1つ持っているなら、2つ、3つ、あるいはそれ以上持っていても何も問題はありません。結局のところ、良いものは多すぎるということはないのです。
残念なことに、その論理はいくつかのことには有効だが、音量が大きくなるとすぐに破綻する場合がある。場合によっては、収穫の減少を経験し始める。その13個目のチョコレートケーキは、果たしてどれだけの付加価値や喜びをもたらしてくれるのだろうか?また、良いものを増やしすぎると、あなたやあなたの組織にとって重大なリスク・プロファイルになる場合もある。
多すぎるサイバーセキュリティツール
近年、ほとんどの組織で制御不能になったサイバーセキュリティ・ツールが、「良いこと」が「悪いこと」になりつつある。Dark Reading誌の調査によると、ほとんどの最高情報セキュリティ責任者は、自社のネットワークを保護するために、平均55から75の異なるセキュリティ製品やアプリケーションに依存しているという。それでもなお、攻撃はまだ突破されている。Verizon 2023 Data Breach Investigations Report(ベライゾン2023年データ侵害調査報告書)によると、成功した攻撃は増加傾向にあり、その中でも最も複雑なものは検知にこれまで以上に時間がかかっている。
攻撃者は、表面的には75以上のサイバーセキュリティ・ツールからなる不可能と思われる難関をどのように突破するのでしょうか。実際、攻撃者がアラームを作動させることはよくありますが、人間の防御者は防御ツールの保守や毎日何千ものアラートへの対応に追われ、それに気づくことはできません。多くのセキュリティ・ツールを導入することは、攻撃者が発見されないようにするために必要な隠れ蓑を提供することになるのです。
TechRadarの最近のレポートでは、サイバーセキュリティ・ツールが多すぎることがもたらす悪影響が強調されています。調査対象となった企業のうち71%が、サイバーセキュリティ・チームが管理しきれないほど多くのツールを保有していると感じています。このため、ツールの追加に伴い、セキュリティ・ポスチャーが悪化しているのが実情です。実際、ツールが多ければ多いほどセキュリティが向上するという考えとは裏腹に、調査対象の圧倒的多数の企業が、環境全体にインストールされたすべてのサイバーセキュリティ・ツールのために、セキュリティが大幅に低下していると感じていると回答しています。
この状況は、ほとんどの組織でクラウドへの大規模な移行が進んでいるため、悪化の一途をたどっています。ネットワークに多数のサイバーセキュリティ・ツールを導入し、あらゆる攻撃経路をカバーすることが普及した理由の1つは、ほぼ完全にオンプレミス型の資産の時代には、この戦略がある種の成功を収めたからです。つまり、少なくとも組織は、それほど早く収穫の減少や悪影響に直面することはなかったのです。しかし、クラウド環境では、ツールを追加すればするほど、より複雑で脆弱な問題が発生します。
重複するツールのメンテナンスにかかる作業に加えて、ツール中心のアプローチにおけるもう1つの大きな問題は、より多くのツールがオンラインになるにつれて確実に発生する誤検出の海である。誤検知を追跡していると、人間のセキュリティ担当者の時間が奪われ、組織には何の利益ももたらされないことになります。その一方で、本物の攻撃は誤報の中に簡単に隠れてしまうのです。サイバーセキュリティの専門家は、手遅れになるまで本当の脅威を見つけることができないかもしれません。
より良い方法
環境からすべてのセキュリティ・ツールを取り除いてしまうのは、非常に危険なことです。しかし、あまりに多くのツールを導入しすぎて、本当に役立つ重要なツールに十分な注意が払われなくなるのも困りものです。重要なのは、適切なツールの選択をすること、そして、ツールの数が多すぎて時間やリソースを浪費することがないようにすることです。
ツールの統合を成功させる鍵は、同時にセキュリティに対する人間主導のアプローチに投資することです。これには、従来はそのような役割に配備されていなかった資産、すなわち攻撃者に狙われているアプリやソフトウェアのコーディングに従事する開発者チームの活用も含まれるはずです。
従来、開発者はセキュリティの担当ではありませんでしたが、この状況は変わりつつあります。実際、開発者にセキュリティに集中するよう促すことは、全員が安全なアプリケーションの配備に何らかの責任を負うという、DevSecOps 運動の重要な側面である。開発者が突然セキュリティの専門家になったり、組織のセキュリティの主要な責任を負うようになるとは誰も思っていませんが、安全なコードの書き方を教え、よくできた仕事には報酬を与えることは、重複するすべてのセキュリティツールを排除するための舞台を整えるのに長い道のりを歩むことができるのです。
優れた安全なコードから始めれば、一般的な悪用や脆弱性をスキャンするために設計された何百ものサイバーセキュリティ・ツールのいくつかを簡単に排除し始めることができるのです。最終的には、開発者が安全なコードを作成する環境を育成し、厳選されたいくつかのサイバーセキュリティ・ツールは、セキュリティ・チームが監視と保守を行いやすい追加チェックとして機能し、良いはずのものに過度の負担をかけることはありません。
