はじめに
今日の企業でサイバーセキュリティを管理していますか?おそらく、複数の事業部門、クラウド環境、開発チームをやりくりしながら、一貫したセキュリティ標準を維持しようと奮闘していることでしょう。もし、いまだに中央集権的なコマンド&コントロール型セキュリティモデルで運用しているなら、苦戦を強いられているかもしれません。そこで登場するのがフェデレーテッドセキュリティです。これは、監視と自律性のバランスを取り、事業部門が必要とする柔軟性を与えつつ、組織が必要とするセキュリティ標準を維持するアプローチです。このアプローチがなければ、イノベーションを阻害するか、セキュリティギャップを生み出すかの選択を迫られることになります。どちらの選択肢も魅力的ではありません。
現実の課題:なぜ従来のモデルは機能不全に陥るのか
私が話すほとんどのCISOは、同じ頭痛の種を抱えています。テクノロジーに関する意思決定が、中央ITから個々の事業部門へと移行しているのです。あなたが構築した整然としたセキュリティモデルは、迅速な行動、絶え間ないイノベーション、競合他社に先んじて市場の変化に対応する必要がある事業部門によって打ち砕かれています。従来のセキュリティモデルが現実と衝突すると、次のような問題が発生します。
- スピードとセキュリティのトレードオフ:締め切りは待ってくれないため、事業部門はセキュリティプロセスを迂回します。
- シャドーITの蔓延:承認を得るのに時間がかかりすぎるため、チームは許可なくツールを導入します。
- ポリシー解釈の混乱:各部門が同じセキュリティポリシーを異なる方法で解釈します。
- 中央チームのボトルネック:セキュリティが全員の作業を遅らせる原因となります。
- コンテキストの不一致:セキュリティチームは、各事業部門が実際に何をしているのかを十分に理解していません。
ここで的を外すと、コンプライアンス違反、セキュリティインシデント、そしてセキュリティを「常にノーと言うチーム」と見なすビジネスパートナーを生み出すことになります。
フェデレーテッドセキュリティ:実際に機能する中間点
中央集権的な監視と分散型のセキュリティ所有権を組み合わせたフェデレーテッド構造を持つ組織は、特に複数の事業部門や開発チームを持つ企業において、スピードとリスク意思決定の改善を実感しています。フェデレーテッドセキュリティモデルは、制御と柔軟性の間の最適なバランスを見つけ出します。中央集権的なガバナンスと標準を維持しつつ、セキュリティの所有権を分散させます。これが注目を集めている理由を以下に示します。
- 中央集権的な標準、ローカルな実装:中央チームが「何を」設定し、事業部門が「どのように」実行するかを決定します。
- 組み込み型セキュリティアーキテクト:セキュリティ意識の高い人材が事業部門内で直接業務を行います。
- リスクベースの意思決定権:ローカルチームは、定義された範囲内でセキュリティに関する意思決定を行うことができます。
- 共有された説明責任:事業部門は自身のセキュリティ態勢とリスクに責任を持ち、中央チームはガイダンスと監視を提供します。
- スケーラブルな専門知識:すべてを1つのチームに集中させることなく、組織全体で専門知識を活用します。
フェデレーテッドセキュリティモデルの実践
フェデレーテッドセキュリティを適切に実装すると、作業は基本的に次のように行われます。
- ポリシーとガバナンス:中央チームが企業標準とリスク許容度を設定し、事業部門はそれぞれの状況に合わせて実装を調整します。
- リスク管理:ローカルのセキュリティアーキテクトが自身のドメインのリスクを管理し、大規模な企業意思決定をエスカレートします。
- ツール選択:事業部門は、事前に承認されたカタログからソリューションを選択するか、新しいテクノロジーの承認を迅速に得ます。
- IDおよびアクセス管理:ローカルチームは、中央で定義されたフレームワーク内で日々のプロビジョニングとロール割り当てを管理し、中央チームはディレクトリサービス、認証標準、および全体的なアーキテクチャを維持します。
- コンプライアンス:自動化されたコントロールが、運用上の柔軟性を与えつつ、一貫したベースラインコンプライアンスを維持します。
フェデレーテッドセキュリティを機能させるもの
成功するフェデレーテッドセキュリティモデルには、いくつかの共通点があります。
- 明確な意思決定権:誰が、いつ、どの程度の権限で何を決定するのかを全員が知っています。
- セキュリティネットワーク:事業部門に組み込まれた熟練した専門家(多くの場合、二重報告関係を持つ)がいます。
- 標準化されたツール:確立された範囲内で柔軟性を提供する共通のプラットフォームです。
- リスクベースのフレームワーク:ローカルで決定されるべきことと、中央で決定されるべきことの明確な基準です。
- 文化的な整合性:セキュリティはIT部門だけでなく、全員の責任であるという共通の理解です。
このアプローチが勝利する理由
フェデレーテッドセキュリティモデルを実装する組織は、一貫していくつかのメリットを享受しています。
- より迅速なイノベーション:事業部門はセキュリティ標準を犠牲にすることなく、市場のスピードで動くことができます。
- より良いリスク管理:ビジネスコンテキストとセキュリティ専門知識の両方を考慮した意思決定が行われます。
- 高い導入率:ユーザーのニーズを考慮して設計されたセキュリティコントロールは、迂回されることなく受け入れられます。
- レジリエンスの向上:分散された意思決定により、単一障害点が排除されます。
- より強力なセキュリティ文化:人々が何かを所有すると、それに対してより関心を持つようになります。
結論
CISOは、ポリシーガバナンスを中央集権化しつつ、ポリシーの実装をより柔軟でローカルに管理する方法を学んでいます。中央集権的なセキュリティがあらゆる意思決定を制御する時代は終わりを告げています。現代の企業は、分散型で、迅速に動き、革新的な、実際の運用方法に合致するセキュリティモデルを必要としています。フェデレーテッドアプローチは、制御を失うことではありません。それは、影響力をインテリジェントに拡大することです。意思決定が行われる場所にセキュリティの専門知識を組み込み、独立した行動のための明確なフレームワークを提供することで、ビジネスの成功を妨げるのではなく、可能にするセキュリティプログラムを構築できます。したがって、次の組織再編の前に、自問してみてください。「私たちは、ビジネスの複雑さに合わせて成長するセキュリティを構築しているのか、それとも私たち自身の成功を制限する制約になっているのか?」フェデレーテッドモデルは検討する価値があるかもしれません。