皆様こんにちは! この記事ではCloud Securityプロジェクトの隠れたコストについて触れます。

Orca SecurityでAdovisory CISOを努めているAndy Ellisの象徴的な言葉です。

答えはYesですね。多かれ少なかれ全てのSecirityベンダーの製品はお客様のSecurity対策を改善します。

多くのCISOが気にしているのはこの質問の答えではなくて隠れたコストかと思います。答えはYesだけど顕在化されていないコストはどれぐらいあってそれらがどのように財務諸表に数字として表れる可能性があるのか。

代表的な隠れたコストのAgentがあるかと思います。

多くのSecirity製品は対象のシステムにAgentを導入するタイプかと思います。もしお客様のシステムが全て同じプラットフォームを利用していればAgentの導入もそれほど難しくないかもしれません。

しかしながらMulti-Cloud全盛の昨今、全て同じプラットフォームのシステムを利用しているお客様は皆無で多くのお客様が異なるプラットフォームのシステムを利用していると思われます。

異なるプラットフォームであればAgentも各々に対応するために異なるAgentが必要で、導入も管理も手間がかかります。

またAgentが消費するリソースも無視できません。AgentもSoftwareで実装された機能の1つであるためプラットフォームのリソースを消費します。重要な営業プレゼンテーションの最中にAgentがCPUを大量に消費してPowerPoint等のプレゼンテーションツールが動かなかったら商談は破談ですね。

更にAgent自体が持つ脆弱性も無視できません。2021年に発生したSolarwindsのインシデントに代表されるように、3rdパーティーのSoftwareが持つ脆弱性に起因して発生しているインシデントは少なくありません。

計り知れない量のAlertも隠れたコストです。

多くのお客様が"Defence in depth"や"Defence in breadth"のような一見するともっともらしい言葉に惑わされてしまい、複数のSecurity製品を導入することが最善策と盲目的に信じているかもしれません。

個々のSecurity製品は日々大量のAlertを吐き出します。Alertは本当に重要なSecurityインシデントにつながる重大なものから、ただの情報やイベントまで様々です。

根本的な問題はSecurity製品がどんなロールの人を対象に設計・開発されているかの違いかと思われます。

多くのSecurity製品はSOCチームのアナリストやエンジニア等、Securityに対する知見と経験を有した方を対象としており、それらの製品から発せられる情報をビジネスの現場で活用する人を対象としていないですね。

最後は複雑な導入プロジェクトも大きな隠れたコストです。

従来Security製品の導入プロジェクトは数ヶ月かかるものがほとんどで、プロジェクトには多くの関係者が関わっていました。

導入プロジェクトに失敗はつきもので、Phase1で経験した失敗を元に当初の計画を見直したPhase2を実施。更に経験した失敗をPhase3に反映する。

多くの方の時間と労力を拘束すればそれだけ機会損失が発生します。これは単純なSecurity製品のコストより大きなコストになるかと思います。

皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。

https://orca.security/lp/cloud-security-risk-assessment/