ブログ

セキュリティをクールにする: 2020 年全国サイバーセキュリティ啓発月間

F5 サムネイル
F5
2020年10月1日公開

F5 は 10 月を通して、 Twitter LinkedIn Facebook Instagramでサイバーセキュリティに関する洞察を共有します

全国サイバーセキュリティ啓発月間は今年で17年目を迎えます。 サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ほぼ20年にわたり、毎年10月に、オンラインでより安全かつ安心に過ごす方法を米国民に伝えてきました。 その間、何か変化はありましたか?

そうですね、答えはイエスでもあり、ノーでもあります。情報セキュリティのリスクは根本的に変わっていません。組織はこれまで直面してきたのと同じ脅威に今も直面しています。 変わったのは、リスク管理戦略と、許容できるリスクとは何かという意見です。 サイバーセキュリティに関しては、国家サイバーセキュリティ啓発月間が広めることに注力しているメッセージが、ユーザーや専門家に届いていないことがデータから明らかになっています。 最近の Securityweek CISO フォーラム基調講演で述べたように、私たちは広報上の問題を抱えています。つまり、セキュリティをクールなものにする必要があるのです。

優先順位の危機

セキュリティ技術者は長年、問題よりも制御に重点を置いてきました。 その結果は、最近の USENIX の論文で「アドバイスの優先順位付けの危機」と呼ばれているものです。  『ウェブ上のセキュリティとプライバシーに関するアドバイスの包括的な品質評価』の中で、著者らは、サイバーセキュリティ対策の 118 項目を、ユーザーが実行すべき「トップ 5」項目に専門家が挙げていることを明らかにしました。つまり、エンド ユーザーは、これらの行動の優先順位を決定し、自分自身を守るための措置を講じる責任をほぼ独力で負うことになります。

この危機の結果は、セキュリティの非効率性です。 私たちは文字通り何十年もの間、企業アクセスと非業務アクセスの両方で同じパスワードを使用しないようユーザーにお願いしてきましたが、調査によると、再利用されたパスワードの 94% が完全に一致していることがわかりました。 当社では、未確認のソースから未確認のソースへのメール内のリンクをクリックしないよう注意を促すセキュリティ意識向上トレーニング セッションを実施しましたが、フィッシング攻撃の成功率は 33 ~ 11% のままです。

このアプローチに苦しむのはエンドユーザーだけではありません。 テクノロジー業界は現在、驚異的な速度で革新を遂げていますが、組織はセキュリティの観点からそのテクノロジーを実装する方法を進化させていません。 過去 10 年間の最大の技術革新である IoT、クラウド、API は、企業の運営方法に革命をもたらしましたが、その多くは基本的なセキュリティ制御なしに導入されています。 IoTデバイスを保護できます。 API を保護できます。 クラウドは保護されます。  しかし、そうすることができていない組織のリストには、フォーチュン 50 企業、3 文字の機関、そしてお金で買える最高のセキュリティ チームを擁する洗練されたテクノロジー企業が含まれています。

今のところ、「クール」とは、素早く行動し、物事を壊すことです。  セキュリティはクールではありません。 邪魔になるんです。 それは簡単ではありません。 それは私たちの革新の方法と一致しません。

競争相手

「クール」とは何か知っていますか? ハッキング。 業界にいる私たちの多くは、ハッキングという言葉が使われていた時代、つまり革新と進化のために行われていた時代を覚えているほどの年齢です。 現在、サイバー犯罪者や攻撃者は、その言葉とその背後にある精神を自分たちのものにしています。 彼らはコミュニケーションをとります。 彼らは共有します。 彼らはボットをオープンソース化しています。 彼らは、機敏かつ迅速に新たな市場機会に適応し、対応します。 悪意のあるハッカーたちは、13 歳の子供たちにボットの作成方法を指導していますが、私の近所の高校生の子供は、情報セキュリティが職業の道であることすら知らず、ましてや全額奨学金を得られる分野だなんて知りません。 

では、悪者が武器化してすぐに共有できるのであれば、なぜ私たちにはできないのでしょうか? なぜサイバーセキュリティ分野は、成長しない新しい方法の発明に多くの時間、資金、労力を費やしているのでしょうか?

3つの事実

セキュリティ専門家として、私たちはいくつかの事実に直面する必要があります。 まず、制御設計の問題があります。 継続的な失敗にもかかわらず、基本的な制御は数十年にわたって進化していません。 私たちは文字通り、異なる結果を期待しながら、同じことを同じ方法でやり続けます。 セキュリティ制御が難しすぎたり、邪魔になったり、時間がかかりすぎたりすると、人々はそれを回避する方法を見つけます。 

また、この仕事に何が必要か、また私たちの分野以外でのセキュリティの価値についての認識を高める努力をさらに進める必要があります。 確かに、セキュリティ ベンダーはセキュリティ担当者にセキュリティ製品を販売することには長けていますが、他の IT 専門分野や他の従業員にセキュリティの必要性と価値を教育することはほとんどありませんでした。 (そして、ほとんどのセキュリティ意識向上トレーニングの品質について話してもいいでしょうか? たとえ『マトリックス』を100回観ても釘付けになる従業員が、できるだけ早くクリックして視聴するのを責めるのは難しい。

さらに、参入障壁が高すぎるという問題もあります。 毎日、特定の資格を持っていなかったり、特定のファイアウォールの専門家ではなかったり、発売されてからまだそれほど長くない製品に関して必要な 15 年間の経験がなかったりするなどの理由で、仕事に就けない有能なセキュリティ担当者のオンライン スレッドを目にします。 私たちは皆、才能ある人材を見つけることの難しさについて語りますが、才能ある人材を採用しないことが多すぎます。 私たちの分野に対する認知度の低さ、参入障壁の高さ、サイバーセキュリティのカリキュラムと卒業生の不足が相まって、ビジネスのニーズを満たすための拡張が困難になっています。

セキュリティをクールにする方法

2020 年にセキュリティをクールにするためのすべての要素が揃っています。 それで、どうやってやるのでしょうか? ここで私自身のアドバイスを取り入れて、トップ 3 に絞りたいと思います。

1.      もっとシェアしましょう。 攻撃者は共有することが大好きです。私たちもそうあるべきです。 あなたの面白い、素晴らしいストーリーを、セキュリティ専門家の仲間以外の人たちと共有し、私たちの活動とその影響に他の人が興味を持つようにしましょう。 攻撃に関するデータを、利益を得られる人々と共有します。 STEM プログラムに投資することで組織のリソースを共有します。 サイバーセキュリティの教育とトレーニングにボランティアとして参加して、専門知識を共有しましょう。

2.      変化を受け入れましょう。 シフトレフト、自動化、攻撃者のスピードに合わせて動作する新しいテクノロジーを採用します。 DevSecOps を推進し、普及させます。

3.      より良いコミュニケーションを実現します。 セキュリティ意識向上トレーニングは、サイバーセキュリティについて社内の全員と積極的に交流できる絶好の機会です。 無駄にしないでください! 彼らの心に響く言葉やイメージを使用して、トレーニングが彼らの生活や彼らが最も気にかけていることに関連したものになるようにします。 彼らを封じ込めるのではなく、勝利を助けることに焦点を当ててください。

現実には、セキュリティはクールです。 私たちがアプローチを近代化すれば、全世界もそれを知ることになるでしょう。

F5の最高情報セキュリティ責任者(CISO)、メアリー・ガードナー