あなたの会社のセキュリティ対策の価値を問うことは、その有効性を詳細に理解することと相まって、必要かつ有益な演習になります。サイバーセキュリティベンダーとして、エフセキュアがお客様に提供しているサービスについても、同様の質問を定期的に実施しなければなりません。この投稿は、サイバー攻撃を受けていない「平時」におけるセキュリティ製品・サービスの価値についての考察をまとめたものです。当社では、これを「平時の価値」と呼んでいる考え方です。
「平時の価値」は、このブログに書ききれないほど数多くの側面があります。そのため、今回は概略に留めますが、実際はもっと奥深いものです。今後の「平時の価値」に関連する投稿をご期待ください。
セキュリティの知見と脅威調査
「平時の価値」は、お客様の財産への理解を深め、リスクを確認・管理し、企業のセキュリティ対応の態勢改善に役立てることができます。セキュリティの知見は、エフセキュアのMDRサービスF-Secure Counterceptによって収集されるデータを活用して、既存のセキュリティコントロールの設定ミスに関連するリスクを可視化することができます。これら知見は、脅威の調査、つまりお客様の現在の環境外で発生している事象に関するインテリジェンスを組み合わせると、さらに価値を高めることができます。これら二つを組み合わせると、組織のプロフィール、ロケーション、業界に関連するリスクを可視化することができます。
この一部は、セキュリティチームが、対処的・予防的対策の間にある急峻で危険な分水嶺を乗り越えることに役立つ知見も提供されます。しかし、変化への対応を余儀なくされている状況で、予防的対策を取るためには相当の努力が必要です。平時において、確実に基本が備わっていること、そして教育が行われていることは、攻撃を撃退する際や休息をとっている際であっても、どちらにおいても価値があります。
インシデント発生に頼らない潜在的な弱点の発見
同様に、潜在的な弱点を見つけるために、インシデントの発生を待つべきではありません。火をつけたマッチでガス漏れの場所を探すやり方は、確実に探せる点では効果的ですが、最良の方法からはかけ離れています。既存のMSSPから提供される多くのアドバイスは、セキュリティインシデントの発生前ではなく発生後に学んだ教訓に基づいています。
インシデント発生時に学ぶことは不可欠ですが、それが唯一の洞察の情報源であってはなりません。そもそも発生しないかもしれないインシデントに頼るべきではないのです。評価は、攻撃が発生した場合に始まるプロセスの最後に行われます。
ここでは私たちのセキュリティの知見が役に立ちます。収集したすべてのデータを使用して、インシデントを引き起こす前に設定ミスを識別し定量化することができます。当社のサービスの一環として収集したデータは、本質的に悪意のある活動が発生していることを必ず示しているわけではありませんが、潜在的なリスクを特定するために使用することができます。
組織のセキュリティ態勢とリスクプロフィールの理解を、攻撃に依存すべきではありません。
何を調べるのか?
その一例が、リモートアクセスアプリやツールです。これまで私たちは、ユーザーが許可を受けずにインストールした極めて多様なソフトウェアについて、お客様に警告してきました。このセキュリティ規則は、多くの場合、問題なく業務を完遂するため、または回避策としての意図をもって規定されたものです。もう1つは、ユーザシステムでのローカル管理者権限の展開です。さらに、セキュリティツールが基準を満たしているかどうかをチェックし、古いバージョンのオペレーティングシステムやソフトウェアを探します。最適なタイミングで警告しリスクス評価をすることは、極めて価値があります。
ビジネス世界の言葉で表現する
技術的なオーディエンスにこの種の洞察を提供することも重要ですが、典型的な取締役会が情報に基づいた意思決定を行うことができるように説明することも重要です。MDRなどのセキュリティ管理は、最終的にはビジネスリスクの管理に役立ちます。しかし、ビジネスのオーディエンスに対して、専門用語を使わずに分かりやすく説明できなければ、価値あるツールを維持するために議論を尽くすことは難しくなります。ビジネスに関わる優先案件は他に数多くあり、それらと競合するからです。
これは、単に投資先を特定し、収支計画を策定するだけではありません。多くの場合、既存のシステム、チーム、および投資を、さらなる価値を生むために活用することができます。
専門用語の「翻訳」作業は多大な時間を要し、ビジネスリスク、優先順位付け、および(必要に応じて)予算化することを伝えるには、ビジネス価値、リスク、および機会に関する有用な知見が必要です。これは、前述した事後対応/予防の課題にも影響を及ぼします。保険としてのサイバーセキュリティの考え方から、ビジネス、テクノロジー、セキュリティに関する幅広い意思決定を導くための知見へと考え方を変えていく必要があります。
組織のリスク評価
「平時」における価値に対する、私たちの長期的な目的は、お客様組織の直面するリスクを一目で確認できる方法を開発することです。また、セキュリティ態勢が脅威に対してどれだけ長期に渡って適応できるかを示すことです。当社のお客様は、すでに平時における価値の恩恵を受けており、私たちが提供する知見を活用して、より優れたビジネス上の意思決定を下すとともに、広範なビジネスに対するエフセキュアの役割とMDRの役割を明確に理解しています。攻撃の防御に追われていない時期に、マネージド検知/対応サービスに何が期待できるかご説明します。
カテゴリ