パッチ地獄で燃え尽きそうなセキュリティ担当者のモチベーションの保ち方

サイバーセキュリティ担当者は、慢性的な脆弱性とパッチサイクルの対応で燃え尽き症候群になりつつある。無限に続くセキュリティ対応の中で、モチベーションを保つ方法はあるのか。

[Matt Kapko，Cybersecurity Dive]

　脆弱（ぜいじゃく）性の発見と開示が間断なく繰り返されるため、サイバーセキュリティ担当者は周期的なパッチ適用を強いられる。企業は、絶え間なく提供され続けるセキュリティパッチに対応するのが困難な状況にある。

　サイバーセキュリティ担当者が、モチベーションを維持しながらセキュリティ対応を続ける方法はあるのか。

悪化の一途をたどるパッチ適用ループ

　SANS Technology Instituteのプレジデントであるエド・スクーディス氏は次のように述べる。「われわれは脆弱性パッチの無限ループに陥っている。脆弱性の修正よりも脆弱性の展開が早くなっているように思われる」。

　脆弱性が発見されてはパッチが提供されるという慢性的なサイクルは、多くの企業やサイバーセキュリティ専門家の無関心やリソース不足を高める一因となっている。

　「既知の脆弱性は、海面上にある氷山がその質量の10％程度しか見えないのと同じだ。業界は脆弱性の把握を目指し対処を続けている」（スクーディス氏）

　一方、ソフトウェアベンダーやシステムベンダーは、海中に隠れている残りの90％に、さらに多くの脆弱性を付け足し続けている。「問題を修正するよりも多くの問題が配備されており、サイバーセキュリティ担当者の燃え尽き症候群につながる可能性がある」とスクーディス氏は話す。

　ある程度セキュリティの成果を出したものの、10年前よりも脆弱になっている企業のセキュリティ担当者は、士気が低下しているとスクーディス氏は述べた。

終わりのない防御の状態が無関心を生む

　サイバーセキュリティの絶対的なレベルは著しく向上しているが、企業やサイバーセキュリティの実践としての有効性は依然として後れを取っている。個人や企業または政府機関が直面する脅威に関心を払っている人なら、この矛盾は驚くようなことではない。

　「攻撃者は、私たちのセキュリティ対策の向上よりも速い速度で、より強力に、より賢く、より創造的に、システムに深く入り込んできている」とスクーディス氏は言う。

　多くの脆弱性が発見され、より多くのパッチが必要とされる中、企業は定義された再現可能な方法でパッチ適用するシステムを構築する必要がある。

　脆弱性パッチへの緊急かつ献身的な対応の必要性から、パッチ適用はフルタイムの仕事になり、大企業ではテストと展開を担当するIT専門チームになる可能性が高いと、Palo Alto NetworksのUnit 42で脅威情報担当副ディレクターを務めるジェン・ミラーオズボーン氏は指摘する。

セキュリティ担当者は前向きな考えの維持が必要

　サイバーセキュリティの専門家のように、弱体化した立場から不利な戦いに立ち向かうと、楽観的な考え方を維持することがより一層難しくなる。しかし、スクーディス氏は楽観的な考え方を見いだして戦うことが重要だと述べた。

　しかし、希望と現実の間にあるこの紛れもない不均衡をどのように相殺すればよいのだろうか。「成功を祝うこと。未来のサイバーセキュリティの人材を訓練し、指導すること。そして研究室での一貫した演習が、この点で大きな成果を上げるだろう」と同氏は言う。

　サイバーセキュリティの専門家は、スキルを高め、それを定期的かつ計画的に実践で生かすことで力を付けられると、スクーディス氏は話す。「脆弱性の海に投げ出されたわけではない。サイバーセキュリティの適用方法を実践的に学んでいるのだ」。

出典：Relentless vulnerabilities and patches induce cybersecurity burnout（Cybersecurity Dive）