Last Updated on 2024-10-24 06:17 by admin
セキュリティを絶対値で測定することをやめるべき時が来た。セキュリティチームは、完璧を目指す全てか無かのポリシーによってリソースを圧迫している。リスク評価をガイドする文脈と指標は常に変化しており、セキュリティチームとしての進捗をどのように測定するかについても理解が進化している。完璧を目指す標準的なセキュリティポリシーは、達成可能な目標を見失っている。業界では、「全ての高リスクの脆弱性は10日以内に対処する」とか「全ユーザーのアクセスは四半期ごとにレビューする」などのポリシーがあるが、これらは100%の達成を目指すもので、その目標が達成可能か、またそのために必要なリソースについての議論が欠けている。
通常、セキュリティチームはその目標を70%の確率で達成するが、これは失敗と見なされる。チームはしばしば、目標の100%を達成しようとして、過剰なリソースを費やすことになる。業界は、プログラムを指揮するポリシーと指標を再評価し、それらが現実的であるか、また正しい測定値であるかを決定する必要がある。
1. リスク許容度を決定する
2. 柔軟で達成可能な目標を設定する
3. 定期的に再評価する
これらのステップを踏むことで、セキュリティチームは完璧を目指すのではなく、進捗を目指すべきである。リスクに関する決定は、ビジネスリーダーや取締役会との間での会話を通じて行われるべきである。完璧はこの業界ではほとんど達成不可能であり、その絶対を目指すことはより多くの害を及ぼす可能性がある。代わりに、進捗に焦点を当て、現実的な目標を設定し、そこに到達するための小さなステップを踏み、最適なリスク軽減レベルに達するまでバーを上げ続けるべきである。
【ニュース解説】
セキュリティ分野において、完璧を目指す「全てか無か」のポリシーが、実際にはリソースを圧迫し、達成可能な目標から目を逸らさせているという問題が指摘されています。このようなポリシーは、全ての高リスクの脆弱性を短期間内に対処する、全ユーザーのアクセスを定期的にレビューするといった、100%の達成を目指すものですが、実際にはその目標を達成することが困難であり、セキュリティチームは目標達成のために過剰なリソースを費やしてしまうことがあります。
この問題に対処するために、セキュリティ業界はポリシーと指標を再評価し、より現実的で達成可能な目標を設定する必要があります。そのためには、まずリスク許容度を決定し、次に柔軟で達成可能な目標を設定し、最後に定期的にこれらを再評価することが重要です。
リスク許容度を決定することで、セキュリティチームは全てのリスクを完璧に管理しようとするのではなく、最も重要なリスクに焦点を当てることができます。また、柔軟で達成可能な目標を設定することで、セキュリティプログラムが実際に改善されているかどうかを評価することが可能になります。そして、定期的な再評価によって、変化する脅威やビジネスのニーズに応じて、ポリシーと目標を調整することができます。
このアプローチにより、セキュリティチームは完璧を目指すのではなく、進捗を目指すことができます。これによって、リソースをより効率的に使用し、全体としてのリスクを減少させることが可能になります。また、ビジネスリーダーや取締役会との間でリスクに関する会話を行うことで、セキュリティがビジネスの目標とどのように整合しているかを明確にすることができます。
このようなアプローチは、セキュリティ業界における新たな標準となる可能性があり、セキュリティチームがより現実的で効果的なセキュリティ対策を実施するための道を開くことになるでしょう。
“セキュリティ完璧主義の終焉:現実的目標への転換が求められる時代” への1件のコメント
この記事が指摘する問題は、セキュリティ分野において非常に重要なポイントを突いています。確かに、セキュリティを絶対的なものとして捉え、全てのリスクを排除しようとするアプローチは、現実的ではありません。私がテクノロジー・ジャーナリストとして見てきた事例や業界の動向を考えると、セキュリティの課題に対処するには、より柔軟で現実的なアプローチが必要であることが明らかです。
特に、リスク許容度の設定は非常に重要なステップです。すべての企業や組織が直面するリスクは異なり、その影響もさまざまです。従って、リスク許容度を適切に設定し、その範囲内で最も重要なリスクに焦点を当てることが、効率的なセキュリティ対策の基盤となります。このアプローチは、リソースの過剰な投資を避け、より重要な脅威に集中することを可能にします。
また、柔軟で達成可能な目標の設定は、継続的なセキュリティ改善において重要な要素です。目標が現実的であれば、チームはそれを達成するための明確な道筋を立てやすくなり、結果としてセキュリティの全体的なレベルが向上します。
定期的な再