By: Christine Vanderpool
2019年9月19日
最近、当月にインシデントアラートが急増した理由を聞かれました。
答えながら、「なぜ」数値が上昇したのかの理由に注目していることに気づき、リスクを説明すると、なぜリスクが発生するかもしれないという動機を重視しがちであることが明らかになりました。これは私の考え方が原因だと考えています。 誰かに何かを話すときやお願いするときでも、「その人にとって何が得なのか」を重視します。なぜなら、ほとんどの人は最終的に、行動する前に動機づけが必要だと考えているからです。 すべての物事の背景には理由があるはずで、その理由を理解すれば、その動機を行動の可能性として残す手段や機会に対処できるのです」
犯罪が行われ裁判で評価されるとき、検察官は犯罪を犯した疑いのある者の手段、動機、機会を問われる。 誰かが犯罪を犯す能力が手段である。 誰かが犯罪を犯す理由が動機です。 犯罪を実行するチャンスや資源の利用可能性が機会である。 完全に効果的であるためには、3つの要素すべてを考慮する必要がありますが、すべて他の2つのうちの1つをデフォルトとするため、1つの考え方が優れているということではありません。 もしあなたがCISOであるなら、問題は、あなたが手段、動機、機会のいずれかのCISOであるかということです。
リスクの「手段」に焦点を当てるCISOであれば、あなたはおそらく強い技術的基盤と背景を持つ、高度な技術を持つCISOでしょう。 あなたの頭の中は、攻撃が「どのように」実行されるかを即座に考える傾向があるでしょう。 そして、攻撃が行われる、または行われる可能性のある技術的な手段に引き寄せられるでしょう。 そして、その手段から身を守るために使用するツールやプロセスに焦点を当てることになります。 NISTの5つの分野に照らし合わせると、「保護と検知」の分野に重点を置くことになります。 なぜなら、もし誰かに動機と機会があっても、犯罪を実行する手段がなければ、攻撃は起こるのだろうかと自問自答しなければならないからです」
「動機」のCISO
Where there is a will, there will always be a way. これが「動機」のあるCISOの考え方です。 このタイプの思考は、攻撃がなぜ起こりうるのかに焦点を当てる。 なぜ」を重視するCISOは、攻撃の心理に集中する。 この人は、NISTモデルの識別エリアに焦点を当てます。 彼らは、起こりうる「なぜ」を一つ一つ検討し、そのような攻撃を防御、検知、対応するための手段と機会を決定します。 この担当者は通常、すべての手段や機会を知ることは不可能だと考えているため、すべてを阻止しようとするのではなく、攻撃が実行される最も可能性の高い理由に基づいて、最も可能性の高いものを阻止するのです。 その理由を理解すれば、誰かがどのように攻撃を仕掛けるのかがわかり、その能力を封じることができます。
「機会」CISO
ドアが閉まれば、誰かが窓を開ける。 これは、「機会」CISOの考え方である。 このタイプのセキュリティリーダーは、「猫の皮を剥ぐ方法は1つではない」という考え方に着目します。 自分たちの権限と管理下にあるリスクだけでなく、その先にあるリスクにも目を向けます。 攻撃者が自由に使えるすべてのリソースに焦点を当てます。 このCISOは、利用可能なさまざまなリソースや攻撃の機会に関するすべてのデータを確実に収集するために、他の組織の対応と復旧に注目します。 また、他の組織の経験をもとに、攻撃に使用される可能性のあるリソースを絞り込んでいきます。 完璧な防御
現実には、完璧な犯罪は存在せず、逆に完璧な防御も存在しない。 セキュリティ戦略を策定する際には、3つの要素をすべて考慮する必要があり、CISOは3つの要素すべてに注目しなければならない。 セキュリティリーダーとして、リスクのうちどれを優先的に、あるいはデフォルトで重視するかを自己認識することが重要です。そうすれば、他の2つを補う、あるいは重点的に取り組むべきスタッフがどこにいるかを特定することができるからです。 これは三角形のようなものです。 三角形のようなもので、見る角度によって正解・不正解はありません。 熟練したCISOは、戦略設計において3つの側面すべてを見抜き、特定することができる。 彼らは、プログラムが現実的で実行可能な用語と方法で、手段、動機、機会にどのように対処するかを明確にすることができる。 それは単に、あなたが最初にリスクを見ることを好む方法を考え、特定する方法に過ぎないのです。