「The Dept. of Know Live!」 : Sounil Yu 氏が DIE セキュリティモデルの採用でイノベーションが加速する理由を語る

セキュリティが往々にして事業革新の阻害要因と見なされていることは公然の事実です。プロジェクトに着手したセキュリティチームが潜在的なセキュリティリスクを発見することでプロジェクトが頓挫する。少なくともまだ多くの人がセキュリティをそのようなものとして捉えています。

しかし、Twitter の元 CISO である Rinki Sethi 氏が「The Dept. of Know Live!」トークシリーズの1で指摘しているように、セキュリティは本来ビジネスパートナーと考えるべきです。先週、私はこのシリーズに参加し、DIE モデルについて、またこのセキュリティフレームワークによって企業がリスクを取りながらイノベーションを加速できるようになるための方策について、Kelly Shortridge 氏および Bea Hughes 氏と話し合いました。

この対談をご覧ください。以下の要点を詳しく見ていきましょう。

1. リスクの低減から影響の低減への進化

従来、セキュリティはリスク低減のための機能と見なされ、セキュリティチームはリスクの監視と脅威の軽減に重点を置いてきました。セキュリティチームは脅威モデルを実行し、事業の中断につながる要因を検討し、代替シナリオを評価して、ビジネスパートナーに、自分たちが着手しようとしている事業構想について別のアプローチで考えさせることによって、ある程度のイノベーションを実現することが可能です。このようなアプローチでセキュリティを捉えると、組織のセキュリティポリシーの指針を提示するための情報セキュリティモデルとして馴染みの CIA トライアドの3つのコアコンポーネントである機密性 (データの秘匿性の維持)、完全性 (データの正確性と信頼性の確保)、可用性 (必要なときにいつでもユーザーがデータを利用できるようにする能力) に基づいて特性を明らかにすることができます。

見方を変えて、セキュリティを影響低減のための機能と考えることもできます。脆弱性や脅威の低減に力を入れても徒労になりかねません。存在するすべての脆弱性にパッチを当てたとしても、翌日には新しい脆弱性が現れ、攻撃者が常に危害を及ぼそうと狙っています。一方、脅威の影響を低減することは私たちの管理の範疇にあり、存在するすべての脅威に対するセキュリティの確保を気にすることなく、ビジネスリスクを取ることができます。

このセキュリティモデルは、CIA トライアドの代わりに次の3つの要素に重点を置く DIE トライアドを用いることで実現可能です。

  • 分散化 (Distributed) : 単一システムへの依存の防止

  • 不変 (Immutable) : 資産の変更を不可能にする

  • 一時的 (Ephemeral) : 短い資産寿命を定義する

最終的には、DIE モデルに従ってセキュリティシステムを構築した方が企業の利益に即しており、システムの機密性、完全性、可用性を確保する必要性を軽減することでイノベーションを迅速化できます。

2. DIE モデルを採用する場合にも乗り越えなければならない困難がある

どの組織にも、CIA トライアドに従って管理する資産と DIE トライアドに従って管理する資産があります。これは「ペット」と「家畜」の話に例えられます。ペットはかけがえのない資産であり、損傷を受けた場合、保護し、モニタリングして、念入りに修理する必要があります。CIA トライアドに従ったシステム構築がこれにあたります。一方、家畜は、損傷があった場合には処分することができる消耗品です。この場合の問題は、DIE の達成を目指すことで、脆弱性があっても万全のセキュリティ対策を取る必要がない程度にまで資産の価値を落とし、影響を軽減する方法を見つけることです。このようなアプローチの変化に多くのセキュリティ専門家は当惑するでしょうが、この方法にはシステムの回復力を高め、修復を迅速化するという利点があります。

3. セキュリティのボルトオンを追加する傾向がイノベーションを妨げる

セキュリティにおいては、セキュリティツールに常に新しいボルトオンを追加しなければならないという考えに煩わされることが多く、それがイノベーションを妨げる原因になります。DIE モデルは、加算の傾向から脱し、減算、除算、乗算のプロセスを通じてイノベーションを実現する方向へと焦点を移行することが可能なフレームワークです。

例えば、サーバーレスコンピューティングは一時的なインフラストラクチャの一例であり、サーバーを保守する必要性を減らし、コンピューティングノードを増やして、革新的なアプリケーションを構築できる環境です。これによって、増え続ける「ペット」を保護する負担が軽減されるため、セキュリティリーダーはこの考え方を歓迎し、支持するでしょう。

結論

セキュリティをイノベーションのイネーブラーにするには、セキュリティに対する典型的な考え方を再考する必要があります。DIE モデルを採用し、セキュリティを影響軽減のための機能と見なすことで、積極的にリスクを取り、ビジネス推進の歩調に合わせたセキュリティを実現し、イノベーションを加速することが可能になります。

{1}オンデマンドでトーク全編を視聴できます{2}。今週後半の3月17日正午 (米国太平洋標準時) に、Betterment 社の Staff Security Engineer である Omar 氏が「The Dept. of Know Live!」に参加し、最先端のアプリケーションを構築することがセキュリティの強化につながるという話を語ります。{3}ぜひご覧ください{4}。

Sounil Yu
CISO and Head of Research, JupiterOne
投稿日

この記事は4分で読めます

興味がおありですか?
エキスパートへのお問い合わせ
この投稿を共有する
Sounil Yu
CISO and Head of Research

Sounil has over 20 granted patents and is recognized as one of the most influential figures in security. Prior to JupiterOne, he was CISO-in-Residence at YL Ventures and Chief Security Scientist at Bank of America. He’s reshaped approaches to cybersecurity by creating the Cyber Defense Matrix and the DIE Triad. He's a board member of the FAIR Institute and SCVX; co-chairs Art into Science: A Conference on Defense; is a visiting fellow at GMU Scalia Law School's National Security Institute; teaches at Yeshiva University; and advises many startups.

Fastly試してみませんか ?

アカウントを作成してすぐにご利用いただけます。また、いつでもお気軽にお問い合わせください。