サイバーニュース.jp

世界のサイバーなニュースを配信

フェデレーテッドセキュリティ:複雑な組織におけるレジリエントな運用モデルの構築

カテゴリ:

, , , , , , , , ,

フェデレーテッドセキュリティとは

今日の企業でサイバーセキュリティを管理することは、複数の事業部門、クラウド環境、開発チームを調整しながら、一貫したセキュリティ標準を維持しようとすることです。もし、依然として集中的な指揮統制型セキュリティモデルで運用しているなら、苦戦を強いられるかもしれません。そこで登場するのがフェデレーテッドセキュリティです。これは、監視と自律性のバランスを取り、事業部門が必要な柔軟性を持ちつつ、組織が必要とするセキュリティ標準を維持することを可能にします。このアプローチがなければ、イノベーションを阻害するか、セキュリティギャップを生み出すかの選択を迫られることになります。どちらの選択肢も魅力的ではありません。

現実の課題:従来のモデルが機能しなくなった理由

私が話すほとんどのCISOは、同じ悩みを抱えています。技術的な意思決定が中央ITから個々の事業部門へと移行しているのです。かつて構築した整然としたセキュリティモデルは、迅速な行動、絶え間ないイノベーション、競合他社に先んじた市場変化への対応を必要とする事業部門によって打ち破られつつあります。従来のセキュリティモデルが現実と衝突すると、次のような問題が発生します。

  • スピードとセキュリティのトレードオフ:事業部門は、締め切りが待ってくれないため、セキュリティプロセスを迂回します。
  • シャドーITの蔓延:承認に時間がかかるため、チームは無断でツールを導入します。
  • ポリシー解釈の混乱:各部門が同じセキュリティポリシーを異なる方法で解釈します。
  • 中央チームのボトルネック:セキュリティがすべてを遅らせる原因となります。
  • コンテキストの不一致:セキュリティチームが各事業部門の業務内容を真に理解していません。

これらの問題を見過ごすと、コンプライアンス違反、セキュリティインシデント、そしてセキュリティを「常にノーと言うチーム」と見なすビジネスパートナーを生み出すことになります。

機能する中間点:フェデレーテッドセキュリティの登場

集中的な監視と分散されたセキュリティ所有権を組み合わせたフェデレーテッド構造を持つ組織は、特に複数の事業部門や開発チームを持つ企業において、スピードとリスク意思決定の改善を実感しています。フェデレーテッドセキュリティモデルは、制御と柔軟性の間の最適なバランスを見つけ出します。集中的なガバナンスと標準を維持しながら、セキュリティの所有権を分散させるのです。これが普及している理由は以下の通りです。

  • 中央集権的な標準、ローカルな実装:中央で「何をすべきか」を設定し、事業部門が「どのように行うか」を決定します。
  • 組み込み型セキュリティアーキテクト:セキュリティ意識の高い人材が事業部門内で直接業務を行います。
  • リスクベースの意思決定権:ローカルチームは、定義された範囲内でセキュリティに関する意思決定を行うことができます。
  • 共有された説明責任:事業部門は自身のセキュリティ体制とリスクに責任を持ち、中央チームはガイダンスと監視を提供します。
  • スケーラブルな専門知識:すべてを一つのチームに集中させることなく、組織全体で専門知識を活用します。

実践におけるフェデレーテッドセキュリティモデル

フェデレーテッドセキュリティを適切に実装すると、業務は基本的に次のように進められます。

  • ポリシーとガバナンス:中央チームが企業全体の標準とリスク許容度を設定し、事業部門はそれぞれの状況に合わせて実装を調整します。
  • リスク管理:ローカルのセキュリティアーキテクトが自身のドメインのリスクを管理し、大規模な企業レベルの意思決定をエスカレートします。
  • ツール選定:事業部門は、事前承認されたカタログからソリューションを選択するか、新しい技術に対する合理化された承認を得ます。
  • IDおよびアクセス管理:ローカルチームは、中央で定義されたフレームワーク内で日々のプロビジョニングとロール割り当てを管理し、中央チームはディレクトリサービス、認証標準、および全体的なアーキテクチャを維持します。
  • コンプライアンス:自動化されたコントロールが、運用上の柔軟性を与えながら、一貫したベースラインコンプライアンスを維持します。

フェデレーテッドセキュリティを機能させる要素

成功するフェデレーテッドセキュリティモデルには、いくつかの共通点があります。

  • 明確な意思決定権:誰が、いつ、どの程度の権限で何を決定するのかが全員に明確です。
  • セキュリティネットワーク:事業部門に組み込まれた熟練した専門家が、しばしば二重の報告関係を持ちます。
  • 標準化されたツール:確立された境界内で柔軟性を提供する共通のプラットフォームです。
  • リスクベースのフレームワーク:ローカルで決定されるべきことと中央で決定されるべきことについて、明確な基準があります。
  • 文化的な整合性:セキュリティはIT部門だけでなく、全員に属するという共通の理解があります。

このアプローチが成功する理由

フェデレーテッドセキュリティモデルを導入する組織は、一貫していくつかのメリットを享受しています。

  • 迅速なイノベーション:事業部門はセキュリティ標準を犠牲にすることなく、市場のスピードで動くことができます。
  • より良いリスク管理:ビジネスコンテキストとセキュリティ専門知識の両方を考慮した意思決定が行われます。
  • 高い採用率:ユーザーのニーズを考慮して設計されたセキュリティコントロールは、迂回されることなく受け入れられます。
  • レジリエンスの向上:分散された意思決定により、単一障害点が排除されます。
  • より強力なセキュリティ文化:人々が何かを所有すると、それに対してより関心を持つようになります。

結論

CISOは、ポリシーガバナンスを集中させつつ、ポリシーの実装をより柔軟でローカルに管理する方法を学んでいます。すべての意思決定を中央集権的なセキュリティが制御する時代は終わりを告げています。現代の企業は、分散型で、迅速に動き、革新的な、真の運用方法に合致するセキュリティモデルを必要としています。フェデレーテッドアプローチは、制御を失うことではありません。それは、影響力をインテリジェントに拡大することです。意思決定が行われる場所にセキュリティの専門知識を組み込み、独立した行動のための明確なフレームワークを提供することで、ビジネスの成功を妨げるのではなく、可能にするセキュリティプログラムを構築できます。したがって、次の組織再編の前に自問してみてください。「私たちはビジネスの複雑さに合わせて成長するセキュリティを構築しているのか、それとも私たち自身の成功を制限する制約になっているのか?」フェデレーテッドモデルは検討する価値があるかもしれません。

元記事: https://www.cybersecuritydive.com/spons/federated-security-building-resilient-operating-models-in-complex-organiza/803038/

投稿をさらに読み込む