‘完璧なセキュリティはない’に埋没しないでください。

By PLURA

一行のフレーズ

「完璧は宣言ではなく証拠だ」 — 問題を正確に定義し、十分に準備すれば、私たちは「完璧」を運営できる。

キャンペーン宣言 — Stop Fear Marketing in Security

この記事は、「完全なセキュリティはありません」の式のホラーマーケティングを中止しようはキャンペーンの一部です。

“完全なセキュリティはない"という言葉は警戒心を与えるが、時にはチームの推進力を破る救済になることもあります。 重要なのは表現に埋め込まれず何が問題なのか正確に理解し、それに合わせて十分に準備して「定義された完璧」を運営することです。

定義された完璧

1) なぜ「完璧はない」が繰り返されるのか? — 問題の構造

  • 複雑さ: ハードウェア→OS→ランタイム→ライブラリ→クラウド→サードパーティにまつわる現代システムは相互依存リスクを育てます。
  • 人間要素: フィッシング・権限乱用・手続きバイパスなどは技術だけで除去が難しいです。
  • 経済的制約: スケジュール/予算/レガシー技術負債とのトレードオフが存在します。
  • 理論的限界:一般プログラムの「欠陥0」の証明、「すべての悪性行為の完全検出」には理論上不可能な領域があります。

上記の理由は、全面的・無限大の「絶対安全」が難しいという意味にすぎず、現実世界の特定の範囲と家庭の下で「運営可能な完璧」を作れないという意味ではありません。

2) フレーム切り替え — ‘定義された完璧(Defined Perfection)’

定義

私たちは、明示された範囲と脅威モデルについて合意したSLO(目標レベル)を継続的に満たし、その事実を証拠として立証**する。この状態を「完壁」と呼ぶ。

このように定義すると、

  • 救援が医師決定基準に変わり、
  • “何が完璧ですか?“が数値と証拠で明確になります。

3) 「完壁」を可能にする5要素

  1. 範囲(Scope): どの資産/システム/データに最適ですか?
  2. 脅威モデル(Threat Model): 誰の、どの能力の、どんな攻撃か?
  3. 目標レベル(SLO) & 禁止される失敗: 「ここ0件」と「ここ目標値」を区分して数値化。
  4. 証拠(Assurance Evidence): 統制実施・テスト・ログ・監査・模擬訓練・第三者評価。
  5. 有効期間&回収トリガ:基準未達、家庭変更、カバレッジ低下時「完成バッジ」自動回収。

4)現実的に強いSLOの例

予防(Prevent)

  • インターネットへの暴露CVSS 9.0+脆弱性MTTR≤72時間
  • 特権アカウント100%MFAハードコーディングシークレット0件

検出(Detect)

  • コア ATT&CK 戦術検出シナリオ カバレッジ ≥ 90%
  • P1アラーム精度≥80%、平均アラーム遅延 ≤5分

対応(Respond)

  • P1 MTTD ≤ 15分MTTR ≤ 2時間(オンコール/自動化の根拠を含む)
  • 隔離・遮断 自動化率 ≥ 70%

回復(Recover)

  • RTO ≤ 4時間RPO ≤ 15分四半期1回回復リハーサル
  • バックアップの整合性チェックサイクル≤7日

ヒント:「0件」の目標は制限された領域(例えば、不正な外部公開、ハードコーディングシークレット)のみ、残りは検出・対応SLOで運営してください。現実的でありながら強力です。

5) 「完璧宣言カード」テンプレート


[システム/製品名]セキュリティ「完璧」宣言(vYYYY.MM.DD)

1. 範囲:

 * 例:顧客PII保存・処理経路(ingest→store→export)

2. 脅威モデル:

 * 外部攻撃者(リモートRCE/資格証明消臭/フィッシング)、悪性内部者除外(別カード)

3. 目標レベル(SLO/禁止される失敗):

 * CVSS 9.0+ 脆弱性 MTTR ≤ 72h
 * 特権アカウントの不正使用0件/四半期
 * ATT&CK検出カバレッジ ≥ 90%
 * P1 MTTD ≤ 15m、MTTR ≤ 2h
 * RTO ≤ 4h、RPO ≤ 15m

4. 証拠/検証:

 * 週間脆弱性レポート、EDRカバレッジスナップショット
 * 四半期ごとの浸透テストの要約、テーブルトップ/ゲームデーの結果
 * 秘密の回転ログ、アクセス権のレビュー記録

5. 残りの危険および承認:

 * 例:サプライチェーンライブラリXの一時緩和(署名検証/分離)、CISO承認

6. 「完璧」維持条件/回収トリガー:

 * SLO未充足2週連続
 * カバレッジ100%未満
 * 未検証変更発生→「完壁」バッジ自動回収

Owner:セキュリティ責任者/サービスオーナー|次の更新日:YYYY.MM.DD

6) なぜこのアプローチがチームを強くするのか

  • 「完璧はない」に埋没すると優先順位と動力がぼやけされます。

  • 逆に定義・数値・証拠で運営する「完壁」は

    • 目標を明確にし、
    • 予算・人材・自動化を正当化し、
    • 外部の利害関係者に検証可能な信頼を提供します。

7) PLURA-XDRで「完璧」を運営する方法

「PLURA-XDR」は可視性(収集)→検出(分析)→対応(自動化)→証拠(保存/監査)の流れを一箇所で扱い、上記の5要素とSLOを証拠基盤に維持するのに役立ちます。

  • 可視性100%指向: エンドポイント/ネットワーク/クラウド/アプリケーションログを単一のタイムラインに統合。
  • 検出シナリオマッピング: MITRE ATT&CK基準の検出ルール/ユースケース運用で カバレッジ数値化
  • 対応自動化:隔離・遮断・キー回転・チケット発行など ランブック自動化でMTTD/MTTR SLO達成支援。
  • 証拠ポートフォリオ: アラームコンテキスト、アーティファクト、対応履歴、リハーサル結果を監査可能な形態に保存。

結果として、「完璧宣言カード」の証拠欄を自動的に埋め、回収トリガーをダッシュ​​ボード化して、救済ではなく運営される完璧を作ります。

8)すぐに始まる1週間プラン

  1. コアパス1つ(例:顧客決済/PII処理)を選択
  2. 上記テンプレートで 「完璧宣言カード」 を作成
  3. 現在よくやっているSLO 5個だけ先に入れる(パッチ・MFA・EDR・バックアップ・検出1~2個)
  4. 今週 証拠リンク つけてチームウィキに公開
  5. 回収トリガ2個自動化(例:クリティカルMTTR超過、EDRカバレッジ未達)
  6. 次のスプリントから週10分チェックに更新

結論

“完全なセキュリティはない"という言葉に埋没する理由はありません問題を正確に理解し、範囲を定義し、数値と証拠で準備 すれば、私たちは 「完璧」を運営 できます。 その「完壁」は救済ではなく、持続的に維持・検証される状態です。

1行再確認

「完璧は宣言ではなく証拠です。定義して準備すれば、セキュリティの完璧は可能です」

Tags