「セキュリティ」とはなにか

この記事はCyber-sec+ Advent Calendar 2024の24日目の記事です🎄

adventar.org

はじめに

あっという間にクリスマスイブですね。
厳密には、クリスマスイブは「クリスマスの夜（12/24の日没後）」のことなので、「クリスマスイブまであと数時間ですね」が正解なのかもしれません。
何はともあれ、最後のチョコ(*1)を頬張りながら気楽にお付き合いください。

(*1) 市販のアドベントカレンダーのチョコって12/24までが多いですよね

パウ・パトロール　カウントダウンカレンダー　1個 - カルディコーヒーファーム オンラインストア

自己紹介

ちなみに私は、美容領域のとある事業会社でセキュリティマネージャーをやっています。上場はしつつも中堅企業の集合体のようなところです。
主な業務は「セキュリティ教育施策全般」と「脆弱性管理」で、個人的に脅威モデリングをもにょもにょやってます（去年まではコーポレートITとの兼任として、ゼロトラベースのアーキテクチャを書いたり実装したり、ISMSやったりしていたのでだいぶ新鮮な一年でした）

結論

で、早速結論です。
セキュリティとは何か、それは「セキュリティは『組織の目的』を達成するための手段のひとつ」です。

そして、ここで言う目的は、

• 「ミッションを達成するため」

• 「社会的責任を果たすため」

の大きく２つに集約されるかと考えています。
（去年も似たようなことを書きましたが、しっくりくる言葉がようやく見つかりました）

「ミッションを達成するため」

去年は「事業を継続するため」って書きましたが、正しくはこっちですね。
事業を継続することも、そのために売上を立て続けることも大事ですが、組織は何かしらのミッションを持っていて、それを判断基準として組織活動を行っています（みなさんの組織もそうですよね？）
なので、その障害となるセキュリティリスクを取り除く、または軽減するために、「セキュリティ」にも取り組みます。
ちなみに「セキュリティリスクは事業リスクのひとつ」なので、他のリスクとバランスを見ながら対応を進めます。

「社会的責任を果たすため」

こちらも去年は「みんなの安全を守るため」と書きましたが突き詰めるとこれです。
例えば、「街じゅうに新しい移動インフラをつくる」「あらゆる価値を循環させる」というミッションを掲げて達成したとしても、それが他人に怪我をさせる恐れがある、治安を悪化させる可能性がある、非合法な取引のプラットフォームになり得るなど、「社会の安全性を犠牲にして達成されるもの」であれば社会基盤の上で活動する組織としては不十分です。
また、一般消費者(顧客)から個人情報を預かってビジネスを行うシーンも少なくないため、漏洩事故を起こして顧客の安心・安全を毀損しないようにセキュリティに取り組む必要があります。売上ばかり重視した結果、個人情報漏洩がダダ漏れなんて言う事案は安心・安全を揺るがしかねませんからね。セキュリティは大事です。

※補足

ここでいう「セキュリティ」は、主に「サイバー空間におけるセキュリティ」を指していますが、地続きにある「物理空間におけるセキュリティ」も必要に応じて適宜含む想定です。「情報」はどちらの空間にも存在しますから。

ここまでがタイトルの回収です。

ではどうするか

ここからは私が今年取り組んできたことと、取り組みの姿勢です。

弊社は「なぜセキュリティをやるのか」

まずは自組織がセキュリティに取り組む理由と「どこまでやるか」を言語化して、共通認識を持つことからです。
現職のセキュリティチームに着任したとき、真っ先にチームに問いかけました。
組織の成熟度的に経営陣に問いかけるところまではできませんでしたが、ふわふわとやっていた部分の言語化は多少はできたかと思っています。

「組織のセキュリティ」

次に取り組むべき対象です。
プロダクトに関するセキュリティは「プロダクトセキュリティ」、コーポレートIT / 情シス管掌の範囲は「コーポレートセキュリティ」のように分かれがちです。
しかし、これって分かれていては本来はダメで、ひとつのテーブルの上で「組織のセキュリティ」として一緒くたに語られるべきものだと考えています。ひとつのテーブルの上で「いま優先して行うべきことはなにか？」を議論できる世界が理想的です（弊社ができているとは言っていない）

「セキュリティ文化の醸成」と「セキュリティ意識の向上」

この用語は近年よく見かけるようになりました。例えば、下記とか。

Security Cultureとは？セキュリティ文化の構築方法 | Proofpoint JP

Security Culture | KnowBe4

どちらもセキュリティ教育の製品を販売しているところなので、製品を売るために言っている感は否めませんが、ベースにある考え方には共感しています。

雑にまとめると「従業員はセキュアな行動を意識的 / 無意識に行える状態」、かつ「組織もそのような行動を称賛・支援し、意思決定を行える状態」にどの程度なっているかを可視化して、ギャップを埋めていこう話です(*2)。
ちなみに私は以前からたびたび「セキュリティを編み込む」という表現してます🧶

(*2) 「セキュリティ文化の醸成」と言うととても仰々しいもののように聞こえますが、「道路を横断するときは左右を見て、車が来ていないことを確認してから渡ろう」ぐらいの、ごくごく当たり前の意識の定着がスタートだと思ってます（どこまでやるかは組織で扱っている情報次第）

「ヒューマンファイアウォール」さえあれば大丈夫？

上記の用語と一緒に語られることが多い単語がこれです。
こちらも出現する文脈としては「人は最後の防壁なので、しっかりと教育すべき」です。
ここは同意なのですが、巷には「ヒューマンファイアウォールさえあれば大丈夫論」があって、これは製品を売りたいベンダの常套句なので鵜呑みのするのは危険だと考えています。

私の考えとしては「人は最後の防壁なので、テクノロジーで防げるものはまずはテクノロジーできちんと防ごう」です。
「テクノロジー」と「人」それぞれに得意な領域と不得意な領域があります。なので、テクノロジーが得意とする領域は基本的にテクノロジーに守らせ(過剰投資にならない範囲で)、それらをすり抜けてくるもの、テクノロジーが不得意な領域を人で防ぐ「多重防御」「役割分担」であるべきと考えています。
「人」のリソースは有限で貴重な資源なので、人に何でもかんでも詰め込むのではなく、人間には人間にしかできないこと / 得意なことにフォーカスさせるべきです。

やらないよりはやったほうが良い「メール訓練」

実施する労力やコストに見合わないなら、かつ実施する意義がそこにないならやらないほうが良いと考えています。
メールフィルタなどの仕組みを導入していれば実際に従業員のメールボックスに届くこともほぼなく、不審メールを踏んでしまった場合の防御策としてもEDR/EPPやコンテンツフィルダリング製品があるため、実被害につながる事例があるか？というといわゆる「発生可能性」は低い認識です。なので、ここにかける労力は他施策に充てたほうが効果的かと考えています。
ただ、「それでもやる意義がある！」と判断して実施するのであれば指標を正しく設定することはとても重要です（そのへんの話については別途記事に書きたいと思ってます）

銀の弾丸としての「脅威モデリング」

最近話題ですよね（すっとぼけ）
新しい手法のように捉えられている方もいるかと思いますが、やってること自体はセキュリティに携わる者であれば大なり小なり習得済みの標準装備です。
差分としては、普段からやっている手順が明文化された点、社内のコミュニケーションツールとしての側面が強くなった点の大きな2つです。

後者は腹落ちしづらいのですが、実施する主体は社内関係者が中心の取り組みです。
この部分は Threat Modeling Manifesto の「誰が脅威モデリングを行うべきですか?(Who should threat model?)」という問いで「すべての人(Everyone)」と明確に書いてあります。
腹落ちするまで社外ワークショップに参加してみる、他社事例を読んでるを繰り返すしかないかなと思ってます。

Threat Modeling Manifesto

なお、「脅威モデリング」を名前に冠した完全請負型のサービスも出てきていますが、上記理由から「自社システム評価サービス」であって脅威モデリングではないです。安直にこの手のサービスに手を出して、「弊社、脅威モデリングをやってるぜ！」ってドヤってはだめです。
外部リソースを使う場合は「社内ワークショップの講師」、「自社で実施する脅威モデリングのファシリテーター / 伴走支援」など、いずれは自社リソースだけでできるように賢く使っていきましょう。

既存の標準装備を正しくアップグレードすることで、新しい用途を得た装備(拡張DLC)として、「セキュリティ文化の醸成」にも一役買えるスキルになると確信しています。

まとめ

長々と書きましたが、セキュリティは「手段」です。
「なぜやるのか」「どこまでやるのか」を関係者と合意した上で施策を進めましょう。
また、この合意形成の際に「やらないよりはやったほうが良い」という言葉に幻惑されず、費用対効果で実施すべきか考えましょう。流行りの言葉にも惑わされることなく、堅実に施策を計画・実行していきましょう。
「セキュリティ」は絶対不可侵の聖域でもなく、免罪符でもないので、盲信的に大鉈を振るうことにならないように十分に気をつけましょう（自戒を込めて）

これからについて

なんだかんだで今年いっぱいで現職は離れて、来年1Qは「セキュリティ撤退戦」をやっていきます。

来年はセキュリティ撤退戦をやる

— hayapi🧶 (@yo_hayasaka) December 19, 2024

今年取り組んできたものの行く末を見守ることができないのは残念ですが、来年は対象組織の規模感や成熟度を鑑みて、本当に重要なコアだけは死守しつつ、それ以外の肉は出血を伴おうとも切り落としていくつもりです。どこかでその後をアウトプットできれば良いなーと思ってます。

プライベートでは、脅威モデリングコネクト東京(Threat Modeling Connect Tokyo Chapter / 略称：TMC Tokyo)の運営をしつつ、それ以外の時間は何事にも縛られることなく、自由に、興味のあるテクノロジー / セキュリティの領域を探求していくつもりです。

脅威モデリングコネクト東京(旧・脅威モデリングオープンコミュニティ)

「壁打ち付き合って！」などのお話は大歓迎です。気軽にお声がけください。

以上で私のアドベントカレンダーは終了です。
皆さん、ホリデーシーズン🎄と年末年始をエンジョイしてください！また来年！