セキュリティ アーキテクチャの規範を確立する際に、この記事では、セキュリティ アーキテクチャの規範を確立して最新化する際の実用的なヒントとして、10 個の不変のセキュリティ リスクの法律を適用する方法に関するガイダンスを提供します。
セキュリティの不変の法律を確認する
アーキテクチャは、困難な要件を特定し、それらを実用的なガイダンスに変換してセキュリティ リスクを軽減し、損害を制限し、システムを時間の経過と同時に利用できるようにするために存在します。 この作業の基礎となるのは、不変のセキュリティの法則です。
これらの法律は、効果的な制御を計画し、セキュリティ アーキテクチャを損なう一般的な誤解を避け、組織のリスクを生み出すのに役立つセキュリティに関する不快な真実を説明します。
| 不変の法則 | アーキテクチャへの影響 |
|---|---|
| 1. 悪いアクターが自分のプログラムを実行するようにあなたを説得できる場合、それはあなたのコンピュータではありません | コードの実行が承認されていないと、制御が失われます。 予防だけでは不十分です。 |
| 2. 不適切なアクターがオペレーティング システムを変更できる場合は、お使いのコンピューターではありません | コントロール プレーンの侵害は、システミック リスクです。 これは、コントロール プレーンがローカル オペレーティング システム、ID 管理システム、セキュリティ ツール、またはシステム/ルート レベルのアクセス権を持つその他のどれであるかに関係なく適用されます。 |
| 3. 不適切なアクターが無制限の物理的アクセス権を持っている場合、それはあなたのコンピューターではありません | 物理的な露出は、例外として扱われず、想定する必要があります。 |
| 4. 不適切なアクターがあなたのウェブサイトでアクティブなコンテンツを実行できる場合、それはあなたのウェブサイトではありません | 実行境界は信頼境界を定義します。 |
| 5. 脆弱なパスワードは強力なセキュリティを切り捨てる | ID エラーは、階層化されたコントロールを倒します。 |
| 6. コンピューターは管理者と同じセキュリティで保護されている | 特権アクセスは、非常に重要なセキュリティ優先度です。 |
| 7.暗号化されたデータは、暗号化解除キーと同じくらい安全です | ガバナンスのない暗号化は脆弱です。 |
| 8.古いマルウェア対策スキャナーは、なしよりもわずかに優れています | 静的防御は減衰します。 |
| 9. 絶対的な匿名性は達成できない | 可視性は避けられません。 |
| 10. テクノロジーは万能薬ではない | 人とプロセスの失敗を想定する必要があります。 |
サイバーセキュリティ リスクの 10 の法律を適用する
セキュリティ制御がどのように失われる可能性があり、セキュリティ アーキテクチャへの影響を理解した後でも、これはシステムを設計するのに十分な情報ではありません。 セキュリティ アーキテクトは、次のことも理解する必要があります。
- 何に最適化していますか? - 私たちはどこで努力を集中しますか? - 許容されるトレードオフは何ですか?
これらの質問を把握するために、サイバーセキュリティ リスクに関する 10 の一般的な法律を適用できます。 法律の各セットは、サイバーセキュリティのさまざまな側面を扱います。
| 法律 | アーキテクチャへの影響 | モダン化ガイダンス |
|---|---|---|
| 1. セキュリティの成功によって攻撃者の ROI が損なわれる | 特に価値の高い資産に対して、攻撃者のコストを増やし、収益を削減するアーキテクチャを設計します。 | - ID、特権アクセス、機密データに関する制御を集中します。 - フラットな信頼ゾーンを減らす。セグメント システムを使用して、侵害がスケーリングされないようにします。 - 特殊なケースではなく、一般的な攻撃者チェーンを壊す保護に優先順位を付けます。 |
| 2. 追いつかないと遅れる | 静的アーキテクチャは失敗します。 アーキテクチャでは、継続的な進化を想定する必要があります。 | - セキュリティ アーキテクチャは行われません。 運用上持続可能であり、継続的に改善される必要があります。 - 継続的更新の設計 (修正プログラムの適用、構成、ポリシー)。 - オンプレミスまたは特注システムよりも速く進化するクラウドネイティブおよびマネージド サービスを優先します。 - 可視性とインベントリが、後からではなくアーキテクチャ要件であることを確認します。 |
| 3. セキュリティはビジネスの実現者です (生産性は常に優先されます) | アーキテクチャによって摩擦が生じれば、バイパスされます。 | - 優れたセキュリティ アーキテクチャにより、既定で生産性が向上します。 - ネットワークの複雑さよりも ID ベースのアクセスを優先します。 - セキュリティコントロールを標準のユーザーワークフローと開発者ワークフローに統合します。 - セキュリティで保護されたパスを最も簡単なパスにします。 |
| 4. 攻撃者は気にしない | 攻撃者は、環境内で使用可能なアクセス パスを使用します。 アーキテクチャは、明らかなパスだけを守るのではなく、最も安価なパスを排除する必要があります。 | - アーキテクチャは、個々のコントロールに対する理想化された信念ではなく、実際の攻撃者の行動を反映している必要があります。 - フィッシング、構成の誤り、またはレガシ プロトコルによる侵害を想定します。 - 壊滅的障害につながるアーキテクチャ上の単一障害点を排除する。 - 最初のアクセスだけでなく、完全な攻撃ライフサイクル (横移動、目標に対して実行) に対してセキュリティで保護されます。 |
| 5. 冷酷な優先順位付けは生存スキル | すべてをセキュリティで保護することはできません。 | - アーキテクチャとは、何をしないかを選択する方法です。 - クラウンジュエルアセットを特定し、そこに「多層防御」を設計します。 - ビジネスへの影響が低い場合は、より低い保証を受け入れます。 - ビジネス シナリオを使用して、アーキテクチャへの投資をガイドします。 |
| サイバーセキュリティはチームスポーツ | アーキテクチャは、複数の規範とチーム間で作業を統合する必要があります。 | - アーキテクトは、コントロールだけでなく、調整を設計します。 - プラットフォーム チーム、開発者、運用にアーキテクチャを合わせます。 - 制御をより適切に行うことができるプラットフォーム (クラウド プロバイダー、ID システム) に制御を委任します。 - 共有サービスで十分な場合は、カスタム ソリューションは避けます。 |
| 7.ネットワークは、あなたが思っているほど信頼できない | ネットワーク信頼をプライマリ コントロール プレーンまたは唯一コントロール プレーンにすることはできません。 | - この法則は、境界中心の設計からの移動を支えます。 - 信頼の決定を ID、デバイス、アプリケーションコンテキストに移行します。 - ネットワークが監視可能で敵対的であることを前提とするアーキテクチャを設計します。 - ファイアウォール/Web アプリ ファイアウォール (WAF) などの効果的なコントロールを保持しますが、それらを使用してすべてを検出/ブロックしないでください。 - ゼロ トラスト アクセス モデルをあらゆる環境で一貫して使用してください。 |
| 8. 分離されたネットワークは自動的にセキュリティで保護されない | 分離は、厳密に設計され、維持されている場合にのみ有効です。 | - 適切に機能するネットワーク分離を保持します。 それを維持していることを確認してください。攻撃者はそれを簡単に回避することはできません。 - アーキテクチャは、トポロジだけでなく、人とプロセスを考慮する必要があります。 - 分離は、ネットワーク フィルタールールではなく、システムとして扱います。 - すべてのブリッジ ポイント (メディア、ベンダー アクセス、管理者) をセキュリティで保護します。 - "エアギャップ" 設計であっても、侵害を想定し、強力な ID と運用制御を適用します。 |
| 9. 暗号化だけではデータ保護ソリューションではない | 暗号学は、ロックを解除するキーと同じくらい安全です。 | - 暗号化は重要ですが、安全な実装と操作なしでは効果がありません。 - 一元化されたキー管理とアクセス ガバナンスを設計します。 - 暗号化解除パスを暗号化ストレージと同じくらい積極的に保護します。 - 暗号化を ID、監視、ポリシーの適用と組み合わせます。 |
| 10. テクノロジーは人を解決せず、問題を処理しない | アーキテクチャでは、不完全な人間とプロセスを想定する必要があります。 | - セキュリティ アーキテクチャを最新化して、人的エラーの爆発半径を減らします。 たった1通のフィッシングメール内のリンクをクリックしただけで、セキュリティ態勢を破綻させてはいけません。 - エラーに対する回復性があるシステムを設計します。 - 可能な限りガードレールを自動化します。 - 完璧な手動操作に依存するアーキテクチャは避けてください。 |
アーキテクチャを構築する
セキュリティ アーキテクトは、これらの 2 つのテーブルを補完レンズとして使用できます。 1 つは技術的な健全性を検証し、もう 1 つはリスクベースの優先順位付けを推進します。 組み合わせると、アーキテクチャの設計と最新化のための実用的な意思決定フレームワークが形成されます。
| 法律 | 目的 | 建築用途 | 回答された質問 |
|---|---|---|---|
| 不変のセキュリティに関する法律 | 技術的に常に成り立つ事実を捉える。 | アーキテクチャが技術的な現実に違反していないことを確認します。 前提条件をテストする 信頼の境界を検証します。 誤った信頼を避けます。 |
アーキテクチャは基本的に健全ですか? 設計は簡単にバイパスできるものに依存していますか? 信頼されていない管理者、脆弱なパスワード、または物理的なアクセス方法をテクノロジで構成できることを前提としていますか? 暗号化、分離、またはツールを実際の制御と間違えていますか? |
| サイバーセキュリティ リスクの法律 | 最も重要なものを決定します。 | アーキテクチャの取り組みを投資する場所を特定します。 最新化ロードマップを形成する。 ビジネス リーダーへのトレードオフを正当化する。 |
攻撃者は、最小限の労力で最大の報いを得る場所を指定します。 攻撃者の動作を実際に変更するコントロールはどれですか? 実行する価値がなくなった作業は何ですか? |
Example
したがって、両方のテーブルを一緒に適用する例を考えてみます。
| 設計上の決定 | 不変の法則レンズ | 10の法則レンズ |
|---|---|---|
| ID ベースのアクセスに対するネットワーク ACL への依存関係を減らす | ネットワークは信頼できません。ID の問題です。 | 攻撃者のコストを高め、ゼロ トラスト原則に準拠します。 |
| エッジ ファイアウォールを強化する前に、管理者の MFA に優先順位を付けます。 | 脆弱なパスワードは、強力なセキュリティを切り捨てる。 | 一般的な攻撃チェーンを壊す最も安価な方法。 |
| "エア ギャップ" に依存するのではなく、ワークロードをセグメント化する | 分離は自動的にセキュリティで保護されません。 | 攻撃者が侵入すると、爆発半径が減少します。 |
| 修正プログラムの適用と構成の誤差検出を自動化する | 古い防御は失敗します。 | 追いつかないことは、後れを取ることです |
両方のテーブルを一緒に使用すると、次のセキュリティ アーキテクチャが実現します。
- 侵害を想定し、絶対防止を約束するのではなく、リスクの軽減と損害の制限に重点を置きます。
- 境界防御だけでなく、ID、特権、横移動に焦点を当てます。
- 静的な図ではなく、継続的な変化と進化を想定します。
- ビジネスの生産性とリスク削減のバランスを取ります。 セキュリティ コントロールをビジネス価値に合わせます。
- 人、プロセス、テクノロジを統合します。
- 完全なセキュリティを追いかけるのではなく、攻撃者の ROI を減らします。
- ゼロ トラスト原則をエンドツーエンドで適用します。
次のステップ
他のセキュリティ規範を確認してください。