不変のセキュリティの法則

元の不変のセキュリティ法は、当時の一般的なセキュリティ神話を破った重要な技術的真理を特定しました。 私たちはその精神で、今日のあらゆるところに存在するサイバーセキュリティ リスクの世界で広く普及している神話を打ち破ることに焦点を当てた、新しい補完的な法則のセットを公開しています。

元々の不変の法則以来、情報セキュリティは技術的な規範から、クラウド、IoT、OT のデバイスを含むサイバーセキュリティ リスク管理規範へと成長してきました。 現在、セキュリティは、日常生活、ビジネス リスクの議論、選挙などを構成する構造の一部となっています。

この業界にいる私たちの多くは、このより高いレベルの抽象化への旅路をたどる中で、リスク管理レイヤーに出現する共通の神話、バイアス、不確実性のパターンを目撃しました。 私たちは、元の法則 (v2) をそのまま保持しつつ ("bad guy" から "bad actor"への些細な変更があるだけで、完全に正確かつ包括的な内容です)、サイバーセキュリティ リスクに関する新しい法則リストを作成することにしました。

法則の各セットでは、サイバーセキュリティのさまざまな側面を扱い、健全な技術ソリューションの設計とともに、絶えず変化する脅威環境における複雑な組織のリスク プロファイル管理を取り上げています。 これらの法則の性質が多岐にわたることは、一般的なサイバーセキュリティのかじ取りの性質が困難であることを示しています。 技術的要素が完璧を目指す傾向にあるのに対し、リスクは可能性と確実性で測定されます。

特に将来に関する予測を行うのは難しいため、これらの法則はサイバーセキュリティ リスクに関する理解とともに進化する可能性があると考えられます。

サイバーセキュリティ リスクの 10 の法則

1. セキュリティの成功とは攻撃者の ROI を悪化させること – セキュリティによって完全に安全な状態を達成することは不可能であるため、攻撃者の投資収益率 (ROI) を悪化させ低下させることで、攻撃者を抑止します。 攻撃者のコストを増やし、自組織の特に重要な資産に対する攻撃者のリターンを減らします。
2. 常に継続しなければ落伍する – セキュリティは継続的な工程です。 常に前進し続ける必要があります。なぜなら、攻撃者が資産のコントロールの成功に費やすコストは低下し続けていくからです。 セキュリティパッチ、戦略、脅威認識、インベントリ、ツール、監視、アクセス許可モデル、プラットフォーム カバレッジ、その他にも時間の経過とともに変化するものは、継続的に更新する必要があります。
3. 生産性は常に成功をもたらす – セキュリティがユーザーにとって容易でないなら、それを回避して仕事を完了しようとします。 ソリューションが安全で また 使用可能であることを常に確認してください。
4. 攻撃者は躊躇しない – 攻撃者は利用可能などんな方法でも使って環境に侵入し、ネットワーク プリンター、水槽温度計、クラウド サービス、PC、サーバー、Mac、モバイル デバイスなどの資産にアクセスします。 攻撃者はユーザーを誘導したり、騙したりします。また、構成ミスや安全でない運用プロセスを悪用したり、フィッシングメールで直接パスワードを要求したりします。 あなたの仕事は、システム全体の管理特権につながるもののような、最も簡単で安価で便利なオプションを把握して取り除くことです。
5. 断固とした優先順位付けは生存スキル – あらゆるリソースのすべてのリスクを取り除くのに十分な時間やリソースは誰も持っていません。 常に、自組織にとって最も重要なもの、または攻撃者にとって最も興味深いものから始めます。そして、この優先順位付けを継続的に更新します。
6. サイバーセキュリティはチーム スポーツ - すべてこなせる人はいないため、組織のミッションを守るためにユーザー(または組織)だけができることに常に焦点を当てます。 セキュリティ ベンダー、クラウド プロバイダー、コミュニティなどが、より良く、または低コストで実行できる場合は、彼らにそれを任せます。
7. ネットワークは想定しているほど安全ではない – パスワードに依存し、イントラネット デバイスを信頼するセキュリティ戦略は、セキュリティ戦略が欠如している場合よりも多少マシなだけです。 攻撃者はこれらの防御を容易に回避するため、各デバイス、ユーザー、アプリケーションの信頼レベルは、ゼロトラスト レベルから始めて、継続的に実証し検証する必要があります。
8. 隔離されたネットワークは自動的に安全なわけではない – エアギャップ ネットワークは正しく維持されれば、強力なセキュリティを提供できますが、各ノードを外部のリスクから分離する必要があるため、成功例は非常にまれです。 隔離されたネットワークにリソースを配置するほど、セキュリティが極めて重要である場合は、USB メディア (パッチに必要な場合など)、イントラ ネット ネットワークと外部デバイス (運用ラインのベンダー ノート PC など) の間のブリッジ、すべての技術コントロールを回避する可能性のあるインサイダー脅威などの方法による潜在的な接続への対策に投資する必要があります。
9. 暗号化だけがデータ保護ソリューションではない – 暗号化は帯域外攻撃 (ネットワーク パケット、ファイル、ストレージなど) に対する保護となりますが、データの安全は復号キー (キー強度 + 盗難/コピーからの保護) やその他の承認されたアクセス手段の安全性に依存します。
10. テクノロジでは、人やプロセスの問題を解決できない – 機械学習、人工知能などのテクノロジはセキュリティの飛躍的な進歩をもたらしますが (正しく適用される場合)、サイバーセキュリティは人間の課題であり、テクノロジだけで解決することはできません。

リファレンス

不変なセキュリティの法則 v2

• 法則 #1 悪いアクターがユーザーのコンピューターに自分のプログラムを実行するように勧誘できる場合、そのコンピューターは完全にユーザーのものではなくなります。
• 法則 #2 悪いアクターがユーザーのコンピューター上のオペレーティングシステムを変更できる場合、そのコンピューターはユーザーのものではなくなります。
• 法則 #3 悪いアクターがユーザーのコンピューターに対して無制限に物理的なアクセスを行える場合、そのコンピューターはユーザーのものではなくなります。
• 法則 #4 悪いアクターが Web サイト上でアクティブコンテンツを実行することを許可する場合、その Web サイトはユーザーのものではなくなります。
• 法則 #5 脆弱なパスワードは強力なセキュリティより優れています。
• 法則 #6 コンピュータの安全性は管理者の信頼性と同等に過ぎません。
• 法則 #7 暗号化されたデータの安全性は復号化キーと同等に過ぎません。
• 法則 #8 古いマルウェア対策スキャナーは、スキャナーを一切使用しない状態とは大して変わりません。
• 法則 9: 完全な匿名性は、オンラインでもオフラインでも、事実上、成立しません。
• 法則 #10 テクノロジは万能の解決策ではありません。