アジアの文化は良いセキュリティ実践を妨げる

シンガポール – アジア太平洋地域における障害の恐れ、ITセキュリティに関するチェックリストに従う傾向、品質に対するコストの低さに優先順位を付ける傾向など、アジアの文化の要素は、アジア太平洋地域の組織がセキュリティ姿勢を改善するために克服すべきいくつかの障害です。

チェックリスト、クオリティー・オブ・マインドセット

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

Dimension Dataの侵入テストのチームリーダーであるPaul Craig氏によると、地域内の企業はしばしば失敗する恐れがあり、そのような動作はセキュリティプロセスにまで及んでいるため、ITセキュリティに関する見解に悪影響を及ぼします。

Craig氏は、RSA Conference Asia-Pacific 2013でのセッション中に、数多くのセキュリティ管理者が優れたセキュリティテスト結果を得るようインセンティブを与えている、と指摘した。たとえば、多くのセキュリティ管理者の主要なパフォーマンス指標(KPI)と仕事の進展は、システムのセキュリティテスト中に見つかった「間違い」の数になるため、セキュリティレポートでは調査の数が少なくなるようにテストを減らそうとします彼は指摘した。

これは、テストの数を減らしてシステムの真の状態を見ることができないため、企業のセキュリティの姿勢を改善するのには役立ちません。

例えば、シンガポールの金融当局は、銀行のシステムが適切に機能しなくなった場合のリスク管理ガイドラインには、罰金が課されるとCraig氏は指摘する。

この高リスクは、非常に制御されたITセキュリティ環境では、範囲が狭く、テストが限定されている、と彼は説明し、「役に立たない関与」として終わると指摘した。

アジアの文化のもうひとつの側面は、「プロセスを厳格にフォローする」という傾向であり、最終的にチェックリストを打ち明けることになるとCraig氏は指摘する。その結果、セキュリティは監査の機能としてよく見られる。

以下のチェックリストの危険性は、ハッカーがそれらをフォローしないので、企業を守ることができないということだ、と彼は警告した。チェックリストはしばしば漠然と言われ、ITセキュリティの進化に伴って更新されないと付け加えた。

Craigは、アジアの顧客との取引経験を共有し、企業が「チェックリストの箇条書き点」に厳密に従うように指示していることに気づいた。同時に、これらのチェックリストは更新されず、数年間同じであった、と彼は指摘する。

アジアの各国政府は、低コストに基づいてセキュリティベンダーを選ぶ慣習を強調する傾向があり、これは地域の倹約と貯蓄の文化にも帰結している、と彼は指摘した。

たとえば、地域の政府は、バルク入札プロセスを通じてベンダー選定を実行することが多いため、セキュリティベンダーの選定は、品質重視型よりも価格駆動型であると指摘しました。

同氏は、MASのリスク管理ガイドラインを再度参照して、金融監督当局は、ガイドラインの1つに「上級管理職が承認した方法論で、どのようにシステムテストを実施すべきかを設定すべきである」と述べている。

例えば、セキュリティガイドラインのもう一つは、企業がセキュリティシステムの「強みと弱みを評価するために独立したセキュリティ専門家を従事させる」ことを要求していると同氏は付け加えた。

今後、地域の企業は、監査プロセスのようにセキュリティが静的ではないことを認識する必要があるとCraig氏は指摘しています。企業は、KPIと雇用の伸びを上げるだけのセキュリティレビューの失敗を恐れるべきではない、と彼は付け加えた。

「セキュリティレビューの失敗は、企業の目標であり、価値を示すものでなければならない。失敗すれば幸せになれるはず」

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています