セキュリティ アーキテクチャの規範を確立する

この記事は、セキュリティチームとテクノロジ チームが、組織全体のセキュリティに対する明確でエンドツーエンドの技術的ビジョンを提供するセキュリティ アーキテクチャ規範を確立し、最新化するのに役立ちます。

セキュリティ規範 は、関連するセキュリティ作業のグループであり、組織がテクノロジ資産全体にわたって一貫してセキュリティ成果を提供するのに役立ちます。 セキュリティ導入モデル内では、規範によって ビジネス シナリオ技術実装の間の橋渡しが可能になり、セキュリティ投資が セキュリティ導入モデルの一部として実際の測定可能な結果に変換されます。

なぜこの規範?

従来のセキュリティ アーキテクチャのアプローチは、多くの場合、次のとおりです。

  • ネットワーク中心または境界に重点を置いた
  • チームとツール間で断片化
  • 静的な図または参照ドキュメントに限定
  • 日々の設計、実装、運用から乖離している

これらの制限により、システムとしてのセキュリティの管理が困難になります。 代わりに、組織は個々のツールまたはプラットフォームを分離して最適化し、不整合、ギャップ、競合、リスクの増加につながります。

セキュリティ アーキテクチャの規範では、人、プロセス、テクノロジを結び付ける一貫性のあるエンドツーエンドの技術ビジョンを確立することで、このモデルを最新化します。 この規範は、個別のコントロールに焦点を当てるのではなく、すべてのセキュリティコントロールと機能が、ゼロ トラスト原則に沿った統合システムとして連携することを保証します。

効果的なセキュリティ アーキテクチャの規範がない場合、組織では一般的に次のことが発生します。

  • サイロで運用されているセキュリティチームとテクノロジ チーム。
  • 断片化されたセキュリティ ソリューションと重複するセキュリティ ソリューション。
  • セキュリティ コントロールのギャップと重複。
  • 低速で効果的でない防止、検出、応答。
  • 未解決の全身的弱点によって引き起こされる繰り返しのインシデント。
  • 組織のリスクとビジネスへの影響の増加。

成熟したセキュリティ アーキテクチャでは、次の方法でこれらの制限を克服します。

  • 共通アーキテクチャの使用: 分離された技術ソリューションではなく、共有アーキテクチャ モデルにコントロールと決定が一致していることを確認します。
  • 戦略を実行に接続する。 一般的なセキュリティ アーキテクチャは、セキュリティ戦略、ポリシー、標準を、設計、実装、運用を完全なセキュリティ ライフサイクル全体にわたってガイドする調整された技術的アプローチに変換します。
  • 一貫したゼロ トラストを適用します。 ゼロ トラスト原則が、すべてのセキュリティ計画、設計、実装の取り組み全体に均一に適用されていることを確認します。

次の図は、セキュリティ アーキテクチャがゼロ トラスト原則を使用して企業全体の回復性を実現する方法を示しています。

この図は、セキュリティ アーキテクチャがゼロ トラストの原則をどのように実現するかを示しています

ミッションと成果

セキュリティ アーキテクチャの規範は、組織全体でセキュリティ機能がどのように連携するかを技術的に明確にし、構造を提供します。 これにより、組織は次のことが可能になります。

  • 明確な終了状態を定義する: セキュリティ プラットフォーム、コントロール、テクノロジが連携してビジネス資産を保護する方法について共有の理解を確立します。
  • テクノロジ資産全体のセキュリティを統合する: ID、デバイス、ネットワーク、インフラストラクチャ、アプリケーション、データ、および新しいテクノロジが、一貫性のあるエンドツーエンドのアーキテクチャによって保護されるようにします。
  • 一貫性と統合の向上: 特定の時点またはツール固有の決定ではなく、アーキテクチャの原則に沿ったコントロールを実装するようにチームに指導することで、断片化を軽減します。
  • 効果的な優先順位付けを可能にする: 最も目立つ問題や緊急性の高い問題に反応するのではなく、ゼロ トラストに沿ったデータドリブンなアプローチを用いて、最も影響の大きいリスクに注力します。
  • インシデントの頻度と影響を軽減する: 全身的な弱点を排除し、対応を加速し、時間の経過に伴う繰り返しインシデントを減らすことで、回復性を向上させます。

この規範を適用する方法

セキュリティ アーキテクチャの規範を効果的に適用するには、組織全体で一貫したアプローチを確立することに重点を置きます。

  1. アーキテクチャの原則と設計パターンを確立する
    セキュリティ制御とテクノロジがシステムと環境間で一貫して設計および実装されるように、明確なガイダンスを提供します。
  2. アーキテクチャを設計、実装、運用に統合する
    アーキテクチャ ガイダンスが意思決定プロセスに埋め込まれているので、静的または分離されたアクティビティとして扱われないようにします。
  3. 規範とテクノロジ領域間でアーキテクチャを調整する
    ID、インフラストラクチャ、アプリケーション、およびデータ保護が、独立したソリューションではなく、まとまりのあるシステムの一部として連携していることを確認します。
  4. リスクとフィードバックに基づいてアーキテクチャを継続的に調整する
    セキュリティ体制、インシデント、変化するビジネス要件からの分析情報を使用して、時間の経過とともにアーキテクチャを進化させます。

アーキテクチャを使用して変更を管理する

このサポートを提供し、最新化を進めるためには、最新のセキュリティ アーキテクチャ規範が多くの領域に焦点を当てる必要があります。

包括的な網羅性

セキュリティ アーキテクチャは、組織全体のエンドツーエンドの複雑さを考慮する必要があります。 そのためには、個々のセキュリティ規範を一貫した全体に統合し、セキュリティ テクノロジとコントロールが連携してビジネス資産を保護する方法について共有の理解を維持する必要があります。 包括的なカバレッジにより、可視性の低い領域が削減され、サイロが防止され、個々のコンポーネントだけでなく、より広範なシステムがセキュリティ上の決定によって考慮されるようになります。

冷酷な優先順位付け

限られたリソースが最も影響の大きいリスクに集中できるように、セキュリティ アーキテクチャは継続的に優先順位付けを推進する必要があります。 明確な優先順位付けがなければ、組織は価値の低い(しかも緊急に見える)雑事や、実際のセキュリティ成果の改善にほとんど寄与しない過度に複雑なソリューションに、労力を無駄にしてしまいます。

データドリブンの優先順位付け

効果的な優先順位付けはデータに基づいて行われ、次の 3 つの要因に焦点が当てられます。

  • 安価で簡単で信頼性の高い攻撃: 敵対者が実行するのが最も簡単で、成功する可能性が最も高い攻撃手法に対処します。 これにより、攻撃者の中断と投資に対するセキュリティリターンが最大化されます。
  • ビジネスへの影響: 最も価値の高いビジネス資産を保護したり、組織に広範な影響を与えたりする防御に優先順位を付けます。
  • 効果的で効率的な軽減策: 最も重要なリスクについては、リスクを迅速かつ測定可能に減らすために、最も単純で最も安価で最も効果的な軽減策に最初に投資します。

継続的改善

セキュリティ アーキテクチャは、完全なソリューションを事前に設計するのではなく、継続的かつ増分的な改善によって進める必要があります。 継続的な改善により、次のことが認識されます。

  • セキュリティは、最適でない出発点からでも、毎日改善する必要があります。
  • 作業は決して完了しません。設計は脅威、テクノロジ、ビジネスと共に進化する必要があります。
  • 迅速な勝利と長期的な投資を組み合わせることで、セキュリティが前進し続け、停滞を防ぎます。

次の図は、セキュリティ アーキテクチャの規範が企業全体にどのように重点を置くかを示しています。

この図は、セキュリティ アーキテクチャが企業全体にどのように重点を置くかを示しています

規範の役割とコラボレーター

セキュリティ アーキテクトとエンタープライズ アーキテクトは、主にセキュリティ アーキテクチャの規範を所有しています。

大規模な組織では、これらの責任は正式な役割に分散され、文書化されたアーキテクチャ プロセスによってサポートされます。 小規模な組織では、ロールが組み合わされ、より非公式に処理される場合があります。 いずれの場合も、セキュリティ アーキテクチャの開発時、正式または非公式に文書化することをお勧めします。

効果的な配信は、以下を使用した緊密なコラボレーションに依存します。

  • セキュリティ戦略、統合、ガバナンスの規範: アーキテクチャを戦略、ポリシー、標準、リスク体制に合わせ、戦略が実用的で実用的であることを確認するための技術的なフィードバックを提供します。
  • テクノロジおよびエンジニアリング チーム: アーキテクチャ ガイダンスを実装し、実現可能性と運用上の影響に関するフィードバックを提供します。
  • ドメイン アーキテクチャ ロール: ID、アプリケーション、インフラストラクチャ、データ、およびネットワーク アーキテクチャをセキュリティ アーキテクチャの原則と標準に合わせます。
  • セキュリティ運用 (SecOps) 規範: インシデント、検出、攻撃者の動作からの継続的なフィードバックを提供して、アーキテクチャの改善を通知します。

セキュリティ アーキテクチャの規範は、設計、エンジニアリング、運用チームを共通のビジョンに合わせて維持する技術的な明確さを提供し、アーキテクチャ上の決定がセキュリティ プログラムを強化することを保証します。

次の図は、セキュリティ アーキテクチャの幅を示しており、単一のテクノロジに焦点を当てる傾向があるエンジニアリングおよび技術の専門家と比較しています。

この図は、組織全体のセキュリティ アーキテクチャのしくみを示しています

他の規範との連携

Discipline セキュリティ アーキテクチャロール
戦略、統合、ガバナンス セキュリティ戦略、ポリシー、および優先順位を調整された技術的アプローチに変換すると同時に、戦略を現実的かつ明確に伝達し続ける技術的なフィードバックを提供します。
技術戦略の規範 設計と実装を共有アーキテクチャの原則に合わせ、分離された進化ではなく統合と再利用を可能にします。
運用上の規範 時間の経過に伴う防止、検出、対応、回復を強化するアーキテクチャの改善をガイドします。

これらの規範を組み合わせることで、セキュリティ戦略、アーキテクチャ、運用全体で継続的な改善が可能になります。

次の図は、これらの関係を示しています。

セキュリティ規範関係の概要

テクノロジの柱との連携

セキュリティ アーキテクチャにより、すべてのテクノロジの柱にわたる制御が、一貫性のあるゼロ トラストベースの設計に合わせて調整され、時間の経過と同時に一貫性が保たれます。 テクノロジの柱との連携は次のとおりです。

  • Identities: ID システムと特権アクセス制御がゼロ トラストに合わせ、すべての資産へのアクセスを保護します。
  • エンドポイント: 一貫したライフサイクル管理を通じて、攻撃者が運用の足掛かりとして使用するデバイスをセキュリティで保護します。
  • インフラストラクチャ: ワークロードと ID システムを支えるクラウドとオンプレミスのプラットフォームを保護します。
  • アプリ: SaaS、パッケージ化、およびカスタム アプリケーションとその通信チャネル全体に一貫したセキュリティ制御を適用します。
  • データ: ビジネスクリティカルなデータを盗難、操作、および強要から保護します。
  • ネットワーク: 従来のネットワークベースの攻撃を軽減しながら、ネットワーク制御が ID 中心のアクセス モデルをサポートするようにします。
  • AI: 新しいスキル、ツール、コントロールを統合して、AI 関連のリスクと AI の攻撃者の使用を管理します。

次のステップ

Microsoft Unified では、サイバーセキュリティの参照アーキテクチャ、ゼロ トラストガイダンス、エキスパート主導のワークショップが提供され、エンド ツー エンドのセキュリティ アーキテクチャを使用する組織を支援します。

  • Last updated on