サイバーセキュリティ専門家の需要は高まり続けており、この分野における人材不足は2022年までに180万人に達すると予測されています。世界中のデータ侵害の平均コストが現在362万ドルに達しているため、これらの役割を担う人材は企業において重要な役割を果たします。
現場ではよくあるミスが数多く発生し、業務を困難にし、会社をリスクにさらす可能性があります。サイバーセキュリティ担当者が職務を最大限に効果的に遂行するために、必ずやめるべき10の悪い習慣をご紹介します。
1. 自信過剰
サイバーセキュリティ専門家が犯す最も一般的な過ちは、自信過剰と誤った安心感だと、シラキュース大学情報学部の実務准教授、バーラム・アタイ氏は述べた。「彼らは適切な対策をすべて講じていると信じ込み、その結果、ハッキングは不可能だと考えているのです」とアタイ氏は述べた。
カスペルスキー・ラボ北米のサイバーセキュリティ専門家、アンドレイ・ポジョギン氏は、単一または少数の厳選された保護層に過信するのも間違いだと述べた。「戦略ゲームでは、どんなに強力で機敏な部隊であっても、他の部隊に打ち負かされる可能性があります」とポジョギン氏は述べた。「セキュリティについても同じことが言えます。万能薬はありません。だからこそ、セキュリティは多層構造でなければならないのです。」
参照:サイバー兵器が今、実用化:北朝鮮のミサイル実験に対する米国の妨害からダラスの緊急サイレンのハッキングまで(無料PDF)
2. 企業の統制を回避する
企業の管理体制がサイバーセキュリティ専門家の効率的な業務遂行を阻害する場合、専門家はこれらの管理体制を回避したり、無効化したりすることが多いとポジョギン氏は述べた。「セキュリティレイヤーを導入する中で、異なる技術間に非互換性が生じ、回避策が見つかる。競合する技術は停止または無効化する必要があり、繰り返し使用される設定は変更せざるを得なくなる。そして、異なるポリシー間で変更が忘れられてしまう」とポジョギン氏は述べた。
アノマリのセキュリティ戦略ディレクター、トラビス・ファラル氏は、ウイルス対策ソフト、ネットワークセキュリティプロトコル、二要素認証などの保護機能を利便性のために無効化または削除すると、意図的に保護機能が回避され、文書が暗号化されていない無防備なシステムにつながる可能性があると述べています。「フィッシングメールをクリックしたり、無防備なシステムへのドライブバイ攻撃が成功したりすると、攻撃者はシステムやシステムを通じてアクセスできるあらゆる情報にアクセスできるようになります」と付け加えました。
参照:サイバーセキュリティの必勝戦略(ZDNet特別レポート)|レポートをPDFでダウンロード(TechRepublic)
3. 誤検知に対する過失
一部のサイバーセキュリティ専門家は、誤検知(セキュリティソリューションが無害なファイルをマルウェアと判定してブロックする状況)を軽視しています。ポジョギン氏によると、誤検知の潜在的な影響は、データの破損、動作の中断、あるいは完全な動作不能などです。「一部のセキュリティ専門家は、誤検知のリスクを軽視し、セキュリティスタックに偏執的なレベルに調整されたソリューションを選択し、誤検知を生み出しています」と彼は述べています。
4. 環境全体の見直しを怠る
セキュリティ専門家は常に緊急事態や緊急訓練に対応しているが、環境自体のセキュリティが低下しているかどうかを遡って検証することはあまりないと、『Mobile Security for Dummies』の著者であるアシュウィン・クリシュナン氏は述べている。例えば、休暇中の上司の代理として、上級管理者の権限をスーパー管理者に昇格させ、その日のスーパー管理者タスクを実行させた後、別の問題が発生したからといって、その権限を取り消さないことがある。
Pluralsight のサイバーセキュリティおよび倫理ハッキングのインストラクターである Dale Meredith 氏は、侵入テストの後に総合的なシステムレビューを行うことも重要だと述べています。
「セキュリティ専門家は、侵入テストや徹底的な調査などを通じてネットワークインフラのセキュリティを確保すると、安心してインフラが攻撃から安全であり続けると想定しがちです」とメレディス氏は述べた。「そうではなく、侵入テストを基準、あるいは出発点として捉えるべきです。」ネットワークは非常に動的であり、新しい機器やソフトウェアのインストール、あるいはソフトウェアやアプリケーションのパッチ適用でさえ、セキュリティ体制を一夜にして変えてしまう可能性があると、メレディス氏は付け加えた。
参照:従業員にサイバーセキュリティを意識させる10のヒント
5. ユーザーを無視する
セキュリティ専門家の多くは、ユーザーが最も脆弱な点であることを認識しているにもかかわらず、「愚かさを補うパッチはない」と主張し、ユーザーを解決策の一部として軽視する人が多いと、ウォッチガードのCTOであるコーリー・ナクライナー氏は述べています。「実際には、教育を優先する意思があれば、ユーザートレーニングはセキュリティ戦略の重要な側面となり得ます」とナクライナー氏は言います。「従業員の行動を少しでも変えるだけで、セキュリティ体制は改善されます。」
たとえテクノロジーが最高クラスだったとしても、ユーザーがセキュリティに関してどう行動し、どう考えるべきか教育されていなければ、常に問題は起こるだろう、とサイブリアントのCTO、アンドリュー・ハミルトン氏は語った。
6. スキルを失ってしまう
リーズン・コア・セキュリティのCEO兼創設者であるアンドリュー・ニューマン氏は、その分野で必要なスキルをすべて持っていると思い込むのは危険な習慣だと述べています。「この分野では、スキルを常に更新し続けなければ、後れを取ってしまう可能性がありますし、実際に後れを取ってしまうでしょう」と彼は言います。
7. すぐにパッチを適用しない
企業はセキュリティ対策に数千ドルを費やしても、セキュリティパッチをすぐに適用しないといった単純な理由で、対策がすり抜けられてしまうことがよくあるとメレディス氏は述べた。最近のWannaCryやGoldenEyeといった攻撃を例に挙げてみよう。包括的なセキュリティ構成管理システムを導入していた企業は、マイクロソフトが既にこれらの脆弱性を修正していたため、影響を受けなかった。しかし、多くの企業は重要なセキュリティアップデートがリリースされてから少なくとも1週間は適用せず、リスクにさらされているとメレディス氏は指摘する。
8. 覚醒疲労症候群
NetWorks Groupのセキュリティサービス担当ディレクター、マット・ワーナー氏は、「アラート疲労症候群」とは、サイバーセキュリティアナリストがセキュリティアラートの洪水に見舞われ、対応できなくなる現象を説明するために作られた造語だと述べた。「その結果、重要なアラートが見逃され、脅威がタイムリーに検知されなくなります」とワーナー氏は述べた。「この現象を簡単に解決するには、重大度と信頼性に基づいて最も重要なセキュリティアラートのみがアナリストに転送され、適切な対応が取れるようにシステムを調整する以外に方法はありません。」
9. サードパーティベンダーへの依存度が高い
メレディス氏は、企業はセキュリティインシデント対策として、ハードウェアやソフトウェアのベンダーに過度に依存しがちだと指摘する。「サイバーセキュリティの専門家として、攻撃者の先手を打つことが私たちの仕事です」と同氏は語る。「セキュリティハードウェアおよびソフトウェアソリューションは、私たちのセキュリティ環境における歯車の一つですが、膨大なリソースの中の一つの歯車に過ぎません。」
ダンバー・セキュリティ・ソリューションズのCOO、クリストファー・エンセイ氏は、市場にこれほど多くの製品が存在するため、サイバーセキュリティ専門家は、現在使用しているツールに代わる最新の人工知能や機械学習の代替手段を見逃してしまうのではないかと懸念しているかもしれないと述べています。「サイバーセキュリティ製品を購入する際は、次世代製品に飛びつく前に、現在の資産を最大限に活用できているか確認することをお勧めします」とエンセイ氏は付け加えました。
参照: 出張の多いCEOとコーヒーショップが企業にとって最大のセキュリティリスクとなる理由
10. ビジネス面を無視する
サイバーセキュリティ業界は、IPS、GAV、XSS、SQLiといった頭字語だらけだとナクライナー氏は言います。これらの用語は業界の専門家と話す際には役立ちますが、多くの経営者はこれらの用語を使っていないことを覚えておく必要があります。「相手をよく理解しましょう」とナクライナー氏は言います。「経営幹部とセキュリティについて話す方法は、ITマネージャーや管理者と話す方法とは全く異なります。」
セキュリティ組織がインシデントの説明、予算の要求、あるいは特定の行動の推進をしなければならない場合、意思決定者は技術的な知識があまりない可能性が高いと、Entrust Datacardのセキュリティ技術ディレクター、サンディ・カリエリ氏は述べている。「ビジネスリーダーとはビジネス用語でコミュニケーションを取る必要があります」と彼女は言う。「ビジネスリーダーに技術的な議論を持ち込むのは、銃撃戦にナイフを持ち込むようなものです。」
ReliaQuestのCTO、ジョー・パートロウ氏は、サイバーセキュリティ専門家にとって、組織のビジネスニーズをより深く理解することも重要だと述べています。「ビジネスの成功に必要なこと、そしてどれだけ迅速に行動する必要があるかという大きな文脈を理解せずに、セキュリティ面だけに焦点を絞りすぎると、どんなに優れたセキュリティ戦術も役に立たなくなってしまいます」と、彼は述べています。「同時に、経営幹部がセキュリティチームの役割と能力を理解することも同様に重要です。」
