せいうちセキュリティ

研究論文からサイバー犯罪とセキュリティを考えてみる

【ブログ考察】”Best-of-Breed” は今の時代の最善策なのか

今回のテーマは「セキュリティツールはベスト・オブ・ブリードで選ぶべきか否か」です。紹介するのは「CISO Mindmap 2023」です。サイバーセキュリティ界隈では有名なものなので知っている人も多いかも。

rafeeqrehman.com

 

どんな人におすすめ?

セキュリティアーキテクトなどのアーキテクチャやデザインを担う人向けの情報です。CISOや情報セキュリティ責任者も知っておくべき内容ですが、どっちかというとSIerなんかの立場の人が知っておくと日本市場的には一番いいかもしれません。

ベスト・オブ・ブリードという考え方はIT業界だと結構当たり前に使われている概念で、いわばシステムを作るときは「オールスターチーム作ろうぜ」的な発想でセキュリティツールを選定するやり方です。エンドポイント保護ならどれがいいか、IPSならどれがいいか、といったかたちで各ポジションで一番優れたヤツを選ぼうという考え方ですね。それと対になるものが「ベスト・オブ・スイート」という考え方で、システムをマルっと一つのベンダーのパッケージでまとめちゃおうというやり方です。セキュリティ責任者の立場だと、どっちの方針に重きを置くかは結構大事な選択になりますし、まあぶっちゃけ「時と場合による」が答えだとは思うんですが、私としては「少なくともベスト・オブ・ブリードの限界を深く考えるべき時期が来たのではないか」と思います。その理由を見ていきましょう。

 

どんな内容?

CISO Mindmapはセキュリティ研究者のRafeeq Rehmanさんが2012年から毎年出している有名コンテンツで、その名の通りCISOが仕事として知っておくべきものをマインドマップ形式で表現しているものです。めっちゃ細かいですがよくまあここまでMECEに作っているなあと感心してしまいます。LinkedInでも今年分だけで1700いいね!&120を超えるコメントがついているので、多くの人が注目しているブログです。

CISO Mindmap 2023には「CISOへの推奨事項」として以下の6つが言及されています。カッコ内は筆者訳。

  1. Increase Attention on Resilienceレジリエンスへの感度を高めよ)
  2. Reduce and Consolidate Security Tools(セキュリティツールを削減・統合せよ)
  3. Build a Brand for Security Team(セキュリティチームをブランド化せよ)
  4. Untangle Application Web of Components(アプリケーションの中身をちゃんと知っておくべし)
  5. Build Expertise in Emerging Technologies(新技術の専門知識も持っておけ)
  6. Create a Security Automation Role(セキュリティ自動化の役割を作れ)

どれも正しすぎる。そしてどれもやろうとすると難しい。難しいってだけで実現不可能ではないのが素敵です。

 

注目ポイント

その中でも特に目を引いたのが 2. Reduce and Consolidate Security Tools(セキュリティツールを削減・統合せよ)です。以下に引用します:

Reduce and Consolidate Security Tools –

More security tools don’t necessarily reduce risk but do add the need for maintaining expertise on security teams. While deciding which tools to keep or retire, think about functionality overlap, future direction, innovation on the part of vendors.

セキュリティ・ツールの削減と統合

セキュリティ対策ツールを増やしても、必ずしもリスクが低減するわけではないが、セキュリティ対策チームの専門知識を維持する必要性が増す。どのツールを維持または廃止するかを決定する際には、機能の重複、将来の方向性、ベンダー側の技術革新について考慮する。(著者訳)

ベスト・オブ・ブリードというのはもともと「点の防御力を挙げれば全体の防御力もあがる」という発想に基づいています。境界防御のアーキテクチャで、ゲートウェイをセキュアにしておけば9割がたの脅威は怖くなくて、セキュリティコントロールの種類も数も限られていた時代では正しい戦略だと思います。

しかし、DXが進んでアタックサーフェスが広がっている昨今では、「点の防御力」よりも「面の統合力」のほうが全体の防御力を左右する重要な変数なのではないか。昨今の脅威傾向(というより攻撃者側の考え方として)は、穴を開けるよりも穴が開いているところから入るほうが断然楽だしチャンスも多いので、点の防御力を高めても以前より効果が薄くなっています。そしてデジタル資産が増えるにつれてその点に対応するセキュリティツールも入れているので、あっちゃこっちゃにセキュリティセンサーがあるわけです。そしてコンソールも違えばプロトコルも微妙に違う。そして当然ベンダーも違ってくるわけなので窓口も違う。間にインテグレーターが入っていたとしても、インテグレーターも同じ悩みを持つので、だいたいどこも考えることは「パッケージ化してそれには正規のサポートを付ける」とかそういう系のサービスを建付けです。

そうなるといよいよ、会社全体で考えたときに"Best-of-Breed"ってコストかさむんじゃないか…という疑問が出てくるわけです。2019年のRSACでも「大企業では130以上のセキュリティツールを入れてる」という話がありましたし、IBMのレポートにも「インシデント対応時には数十のツールを使っている企業が多い」という言及がありました。お客様と話していても、現場担当者や技術好きの責任者だと"Best-of-Breed"にこだわる傾向が強い気がします。それぞれの担当分野(エンドポイントとかネットワークとか)があるので、点を強めたいという考えは当然です。でも局地的な正解が全体として間違っているときも往々にしてありますし、昨今のセキュリティ事情を鑑みると「点より面」の効果&効率がセキュリティの成否を左右するのではないでしょうか。なので、今年から来年にかけては、"Best-of-Breed"から"Best-of-Platform"に転換する企業が増えることを願います。

 

感想

オープンであるとは自由であり、自由であるにはコストがかかる。ここ2年くらい強く感じることです。商用でオープンソースが流行りみたいになったときもそうですが、だいたいは初期費用が抑えられるので多くの人が食いつき、運用してみると自分たちでしなきゃならんことが増えて結局運用されずに終わるというケースが一番避けたいパターン。

特にセキュリティは日々の習慣で成り立っているものなので、CAPEXよりもOPEXがものを言います。「自由は与えられるものではなく勝ち取るものだ」という認識が、日本ではひどく希薄だと思います。オープンでありたいなら、相応のコストは覚悟しましょう。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり