コンテンツにスキップ

イラスト:セキュリティ管理;画像

カジノサイト

セキュリティ リスク評価の哲学

マーク・アシュフォード著
2023 年 11 月 13 日

動的リスク評価に重点を置く

哲学的なカミソリは、さまざまな状況に適用できる、一般的な規則またはガイドラインとして組み立てられた認知ツールの一種です。カミソリは、情報に優先順位を付ける方法をより深く理解し、効果的な意思決定を行うのに役立ちます。これらは、私たちが収集している情報の複雑さを軽減し、主要な概念を特定して明確にするのに役立ち、私たち自身の思い込みや偏見を明らかにします。これらはすべて、意思決定プロセスにおける重要な要素です。

多くのセキュリティ専門家が意思決定をする際に哲学に頼る可能性は低いでしょう。しかしここでは、セキュリティ専門家を支援できるいくつかの種類の哲学的なカミソリを検討します。実のところ、解決が必要な問題に遭遇したときに、すでにこれらのカミソリを適用していることがわかります。私たちは何も考えずに実行しています。しかし、意図的にそれを検討すれば、つまりこれらのカミソリを思慮深い方法で批判的に適用できれば、より適切で迅速な意思決定ができ​​ることがわかるでしょう。

背景

非常に広い意味で、物理的セキュリティは、脅威とリスクの特定、適切な管理の実施、組織の資産、情報、従業員の日常運用上の保護の監督という 3 つの中心的な責任に焦点を当てています。保護が必要なすべての資産、それらの資産に対するすべての潜在的な脅威、およびそれらを軽減するすべての方法のリストを作成し始めると、物理的セキュリティの複雑さがすぐに明らかになります。

セキュリティ リスク管理は、物理的セキュリティの複雑さに戦略的アプローチをもたらすために使用される分野です。セキュリティ リスク管理を成功させるには、組織のリスク選好度および予算の範囲内で、リスクを効果的に管理するための適切な戦略の適用と併せて、脅威の状況を徹底的かつ厳密に理解する必要があります。

実際、多くの業界にわたって、過去 10 年間の脅威とリスクの範囲、ペース、複雑さが大幅に加速したと言えるでしょう。これらすべての領域、およびセキュリティ リスク管理の範囲全体にわたって、大量の情報が存在します。しかし、情報を収集し、それをリスクと脅威の評価に組み立て、リスクを軽減するために導入した管理によって生成され、増え続ける情報を管理するというさまざまな段階から、どのように管理すればよいでしょうか?

これらの質問に対する答えは、評価段階で情報を効果的に選別するための特定の指針を適用する能力を備えていることですセキュリティ リスク評価の哲学。

セキュリティ専門家は、関連情報の包括的かつ厳密な理解に基づいて、十分な情報に基づいた意思決定を下す必要があります。場合によっては、セキュリティ専門家は、これまでの経験、リーダーシップに関する知識、または社内のセキュリティ インテリジェンス アナリストやサードパーティ ソリューションなどの追加のスキル セットを活用することで、意思決定点に到達することがあります。また、意思決定が難しく、データの量や情報源の範囲が膨大になる場合もあります。この結果、心理学者のダニエル・カーネマンは、「ノイズ」から実用的な洞察を抽出することが困難になると表現しています。 (詳細については、お読みください)、カーネマン、共著者オリヴィエ・シボニー、キャス・R・サンスティーン著)

どちらのタイプの決断でも、経験や直感によってすでに対処できていると思っているタイプと、進むべき道を見つけ出そうと情報の海の中でグルグル回るタイプの決断において、哲学的なカミソリは、自信を持って決断できるよう迅速に到達するのに役立ちます。

人々が名前を付け、説明した哲学的なカミソリがたくさんあります。ここでは、セキュリティ専門家にとって特に役立つと思われる 4 つを紹介します。

オッカムの剃刀

よく知られたは、他のすべてが等しい場合、最も単純または最も直接的な説明が、通常、最も正確であるか、現場の現実に最も近いものであると述べる哲学的なカミソリです。このカミソリはセキュリティ専門家にとって多くの価値をもたらします。

まず、脅威の特定を簡素化するために使用できます。そうしないと、潜在的な脅威のリストが終わりなく麻痺する可能性があります。複雑かつ多面的な攻撃が発生する可能性を完全に否定したり無視したりすることはできません。ただし、不必要な情報や敵対的な行動の想定によって脅威評価プロセスを過度に複雑にするのではなく、オッカムの剃刀を使用して、最も単純で単純な脅威を最初に考慮することで境界線を設定することができます。

オッカムの剃刀は捜査にも応用できます。確証バイアスまたはアンカリング バイアス調査を歪める可能性があり、最も単純な説明に目を向けるのではなく、不必要に複雑な理論に飛びつくことになります。

不必要な情報や敵対的な行動の想定によって脅威評価プロセスを過度に複雑にするのではなく、オッカムの剃刀を使用して境界線を設定することができます。

ソーシャル エンジニアリングの敵対者オッカムの剃刀を心に留めてください。攻撃者は、複雑で洗練されたセキュリティ テクノロジ システムを克服するためのスキームを考案するのではなく、誰かが自分たちのためにドアを開け続けてくれることを確認するだけで済みます。彼らは、バッジに手を伸ばすことができないようにコーヒーを 2 杯運ぶなどの高度な戦術を使用する可能性があります。あるいは、スタッフのバッジを見て、会ったときにその人の名前を呼んだことがあるかもしれません。

セキュリティ管理の観点からオッカムの剃刀を適用することは、最も単純な敵対者の説明と行動を特定することです。そうすることで、リスクの根本的な原因を特定しやすくなり、リスクを修正するための緩和戦略をより適切に開発できるようになります。このカミソリをリスク管理戦略に取り入れることで、時間とリソースを節約し、最も実用的で最も必要なソリューションと制御を特定できます。

ヒュームの剃刀

私たちの仕事に適用できるもう一つのカミソリは、ヒュームのカミソリとしても知られています。あるいは、あるべきか、あるべきかの問題。ヒュームの剃刀はオッカムの剃刀とそれほど遠くなく、説明に到達するために情報をつなぎ合わせるときは常に、最小限の仮定を必要とする説明を優先すべきであると求めています。

ヒュームの剃刀は、以下に適用すると特に効果的です敵対的経路分析(インシデント前またはインシデント後)。基本的に、セキュリティ ギャップ、遅延および応答時間を特定するために、攻撃者の制御スイートに対する必要な手順とアクションをプロットします。

分析ステップを進めていくと、ヒュームの剃刀を適用すると、敵対者が実行する必要がある各ステップをより深く調べることが求められます。セキュリティ コントロールが敵対的な行為に対抗するために観察された効果を十分に生み出すことができない場合、そのコントロールを検討から除外して振り出しに戻るか、敵対的な行為を防ぐというセキュリティ目標を作成するためにコントロールに何を追加する必要があるかを特定する必要があります。

多くの場合、成功には複数の方法があり、攻撃者は特に成功を確実にするためにセキュリティ制御を回避する新しい方法を見つけることに長けています。これはオッカムの剃刀と組み合わせて適用できるため、攻撃者が実行する可能性のある手順を評価するときは、攻撃者が実行する行動についての仮定を最小限に抑えた説明を優先する必要があります。これらの仮定は、敵が助っ人、または特定の装備やスキルを持っていたということである可能性があります。両方のカミソリを一緒にリスク評価モデルに適用すると、次の手順が得られます。

  • 特定します。高レベルの組織セキュリティの脅威と、関連する既知または予想される脆弱性を特定します。
  • ヒュームのかみそり検査。これらの脆弱性を悪用するために、それぞれのセキュリティ脅威にどれだけの敵対的な仮定や条件が必要であるかを列挙して確認します。これらは、敵対的経路分析演習のアクションとなる可能性があります。
  • オッカムの剃刀の整理。セキュリティの脅威を、最も複雑でないもの (つまり、攻撃者が確実に成功するために必要なアクションの数が最も少ないもの) から、完了までに最も多くのアクションを必要とするセキュリティの脅威までランク付けします。
  • 優先します。最も簡単に悪用される可能性のある脅威と脆弱性を優先することを検討してください。両方のカミソリを使用して、この優先リストは、セキュリティ専門家が敵の能力について最小限の想定を行う必要があり、敵が取る可能性が最も高い、最も簡単または単純なパスまたは戦術である脅威から始まります。
  • 見直してください。仮定と条件がどこで発生するかを確認してください。それぞれの仮定や条件を裏付ける証拠に下線を引くことで、セキュリティを損なう主要な敵対的アプローチを特定し、新たなセキュリティ脆弱性を明らかにできる可能性があります。

ポッパーのカミソリ

物理的セキュリティ リスク管理に対する大きな課題の 1 つは、惰性、つまり制御スイートのアプローチと選択を継続的に再評価しないことです。慣性が発生する理由はいくつかあります。たとえば、脅威が他の地域や業界ほど速く進まない可能性がある場合、建物がそれに対して設計されていた設計基準の脅威が存在しなくなった場合、または予算やセキュリティ インフラストラクチャの継続的なアップグレードをめぐる継続的な議論が議題から外れた場合、セキュリティは静的になる可能性があります。ポッパーのカミソリかこのような状況では役立ちます。

表向きには、ポパーの剃刀は科学的推論に適用されます。つまり、理論は検証可能であり、誤りであると証明できなければなりません。セキュリティ リスク マネージャーの基本レベルでは、これは、標準運用手順 (SOP)、ポリシー、セキュリティ管理の想定される機能など、導入されているセキュリティの前提条件に異議を唱える意欲を示すことを意味します。

しかし、ポッパーのカミソリの本当の価値は、自分たちの仮定や予測をテストするときにある現実世界のデータ。自社のコントロール全体をテストすることが必ずしも実現可能ではない場合、ピア組織内で発生したインシデントや違反は、独自のコントロールと緩和策をテストする貴重な方法となり、アップグレードの議論を行う際に仮定ではなく実際のデータ ポイントを生成できるようになります。

[脅威に常に注意してください. SM7 ニュースレター:サインアップ ]

たとえば、ポッパーの剃刀がデータ主導のリスク評価にどのように適用できるかを考えてみましょう。セキュリティ データセットを提供できるサードパーティ サービスやオープン ソースは数多くあります。そして主催者:。これらのグループは、テロ攻撃や武力紛争などの影響の大きい敵対行為を照合します。

これらのデータセットを使用することで、セキュリティ専門家は、関連する攻撃の日付 (攻撃の頻度の傾向と進歩を示すのに役立ちます)、攻撃対象のタイプ (当社のサイトに適用できる議論を組み立てるのに役立ちます)、インシデントのタイプ (当社のセキュリティ リスク登録簿と相互参照できるようにします)、および使用された攻撃手法、ツールセット、または武器を導き出すことができます。四半期または年次ごとに、セキュリティ リスク評価文書と脅威評価をレビューして、敵対者の動向に合わせてセキュリティ コントロール スイートを批判できます。実世界のデータをレビューし、当社の統制に照らして評価できることにより、ビジネス ケースで当社のセキュリティ リスク管理フレームワークの有効性を反証、反論、またはその他の方法でテストすることが可能になります。  

重要なことに、ポッパーのカミソリを採用することは、リスク管理に反証可能なアプローチをとることで恩恵を受けるセキュリティ文化を支えるのに役立ちます。そうすることで、組織はセキュリティ管理のパフォーマンスを評価する際に推測的な仮定に依存することを避け、代わりに証拠に基づく分析に重点を置くことができます。

アインシュタインのかみそり

インテリジェンス分析の世界から借用してセキュリティ リスク管理レポートに適用したもう 1 つの領域は、フォーマット。 BLUF は「ボトムライン・アップ・フロント」の略で、諜報要旨から本質的かつ最も重要な点を取り出し、読者に前面に提示することを目的としています。

BLUF のコンセプトに協力することは。アインシュタインのかみそりの原理は、内容を損なうことなく、理論と仮説を可能な限りシンプルにすることです。一部の理論は複雑かもしれませんが、不必要に複雑にするべきではありません。

セキュリティ リスク管理にアインシュタインの剃刀を適用するということは、BLUF 形式に基づいて構築し、単純かつ明確に記述することを意味します。特に、セキュリティ リスク評価の作業は、多数の脅威基準を組み込むことを目指しながら、さまざまな章、マトリックス、付録にまたがって拡大する可能性があります。その結果、便利なドキュメントが作成される可能性がありますが、必要以上に大きく複雑になる可能性があります。

効果的なセキュリティ リスク管理の実践者として私たちが観察している優れた実践の多くは、健全な哲学的原則に支えられています。

セキュリティ管理の選択と実装に関連する情報のプロセスと評価を正確に記録する必要がある一方で、常に対象となる読者、つまり組織内の利害関係者、政策立案者、リーダーに焦点を当てなければなりません。多くの推奨事項を含む大規模で複雑な文書は、経営幹部レベルでは一般的に歓迎されない可能性があります。むしろ、明確、簡潔、正確、そして容易に解釈可能な情報の提供視聴者が必要な情報を効率的に見つけて理解できるようにします。これは、アインシュタインのカミソリと BLUF 形式の基礎です。

重要なのは、アインシュタインのカミソリは情報を曖昧にすることを目指しているのではなく、重要なポイントに簡単にアクセスし、容易に理解できるようにすることを目指しているということです。経営幹部以外でも、セキュリティ専門家自身が常に注意を払う必要のある仕事のポートフォリオを抱えて非常に忙しいことが多いため、このスタイルの情報構造化は有用であり、行動を促進することができます。 BLUF を使用すると、セキュリティ リスク評価は段落の先頭にある最も重要な文から始まり、段落の残りのすべての情報を要約する必要があります。明確、簡潔、正確、要点を絞った言葉を使用すると、解釈の余地が少なくなり、マネージャーやリーダーが情報を誤解したり、理解してほしい重要な点を見落としたりする可能性が低くなります。

アインシュタインの剃刀とそれが私たちの仕事にどのように適用されるかを理解することは、セキュリティ リスク評価プロセスの目的の下に重要な意思決定と、それらの意思決定を行う主要な人々がいることを認識することを意味します。直面している問題の大きさを損なうことなく、複雑さを軽減し、意思決定や結果をできるだけシンプルに理解できるレポートを作成するのは簡単な作業ではありませんが、この戦略が一度達成されれば、セキュリティ リスク管理プロセスへの賛同がさらに高まる可能性があります。

効果的なセキュリティ リスク管理の実践者として私たちが観察している優れた実践の多くは、健全な哲学的原則に支えられています。セキュリティ リスク管理のコンテキストにおける哲学的なカミソリを認識することは、分析、制御メトリクス、調査、および運用ワークストリームのさまざまな要素が、不必要な複雑さを回避し、管理者が確固たる結論を下す前に入手可能な情報について総合的な視点を考慮する健全な証拠実践に基づいていることを保証するのに役立ちます。実際、物理的なセキュリティに関するブリーフや書面による出力で哲学的なカミソリを使用することは、セキュリティ リスクに対する理解を歪め、上級リーダーの注意を私たちが注意を引こうとしている重要な要素からそらす可能性がある潜在的な偏見、仮定、誤謬を特定するのに役立ちます。

セキュリティのリスクと脅威が進化し続ける中、職業としてリスク管理へのアプローチを開発し、洗練し続けることが不可欠であり、哲学的なカミソリの適用はその将来において重要な役割を果たすことができます。

マーク アシュフォードは、法執行機関と国家安全保障でのキャリアを経て、金融業界のセキュリティ リスク マネージャーです。彼の他の関心分野には、情報分析、戦略的先見性、国際関係などがあります。

動的リスク評価に重点を置く

セキュリティ リスク評価の哲学

動的リスク評価においてデバイス データがどのように重要な役割を果たすか

リスクは動的であるため、物理的リスク評価は継続的に行う必要があります

潜在的な暴力の 18 の行動上の危険信号とは何ですか?

早わかり: 職場の暴力への備えを評価するのに役立つ 14 の質問

多様な見解の寛容と職場暴力防止のバランスを取る: 極端な見解が極端な行為につながる場合

目に見える過激主義: 象徴と脅威の認識と対応

脅威評価アプローチの翻訳

暴力の警告兆候には多分野の評価が必要

最高のセキュリティ管理

EP トレンド: 住宅リスク、過激派影響力者、戦術の変化

医療訪問者管理におけるセキュリティのギャップを見つけて埋める

カジノサイト の調査は、セキュリティの進化するビジネス上の役割を測定することを目的

暴力のための暴力: 非イデオロギー的過激主義を理解する

危機介入が学校のプロアクティブなセキュリティにどのように影響するか

連鎖する危機: 米国連邦刑務所は数十年にわたる安全でない人員不足に取り組んでいる
arrow_upward