セキュリティリスク

 

セキュリティ・リスク管理は失敗したのではありません。漂流してしまったのです。

そして、この違いは多くの人が思う以上に重要です。

現在のセキュリティ・リスク管理の姿は、単一の悪いアイデアや欠陥のある標準のせいではありません。模倣された実務、借用されたモデル、そして意図的な加害という現実にきちんと照らして検証されなかった前提が積み重なった結果です。

ほとんどのセキュリティ・リスク評価は、第一原理から設計されていません。

直近の評価を写し取り、見慣れたテンプレートを使い回し、過去に監査やガバナンスで「受け入れられた」ものを踏襲して作られています。

その行動は理解できます。結果の重大性が大きい環境では、検証をくぐり抜けたことを繰り返すほうが、それに異を唱えるよりも安全に感じられるからです。

その思わぬ帰結が「ドリフト（漂流）」です。

弱い前提は強い前提よりも速く広がります。各評価は、前回の評価が抱えていた論理、近道、盲点を受け継ぎます。やがて慣行が、誤って「正しさ」と取り違えられるのです。

安全、工学、金融とは異なり、セキュリティは成熟したセキュリティ固有のリスク教義を育てられませんでした。

その空白を、利用可能だったもので埋めたのです。一般的なリスク標準、全社的リスクモデル、そしてコンプライアンスのフレームワークで。

それらの道具が「間違い」というわけではありません。噛み合っていないのです。

それらは反復可能な事象、過去のデータ、統計的な規則性を前提に設計されています。

セキュリティ・リスクは、そのどれでもありません。

これらのモデルを調整せずに適用すると、確率は憶測になり、マトリクスは偽りの精密さを生み、コントロールは条件付きで脆いものではなく交換可能なものとして扱われてしまいます。

モデルは厳密に見えます。しかし、実際のセキュリティ条件下では静かに破綻します。

その後、監査とアシュアランスが問題を増幅します。

検証しやすいプロセスが生き残り、見た目が完璧な成果物が残り、前提に挑む実践はたとえ分析的に優れていても浸透しにくくなります。

時間の経過とともに、システムは成果の有効性ではなく、プロセスの弁護可能性に最適化されていきます。

誰も最初の問いを立てようとしませんでした。

このモデルは、意図的で適応的な人為的加害に本当に適しているのか？

途中の各ステップはもっともらしかった。しかし、その累積的な結果はそうではありませんでした。

もしあなたのセキュリティ・リスク評価が、曝露を掘り下げることよりも成果物を埋めることに重きを置いているなら、それは設計ではなくドリフトの産物かもしれません。

私たちがここに至った経緯を理解するのは、非難のためではありません。受け継いだ実務は、目的適合のモデリングと同義ではないと認識するためです。

あなたのセキュリティ・リスクのプロセスのうち、「うまく機能するから」存在している部分はどれで、「昔からそうだから」存在している部分はどれでしょうか。

追伸：セキュリティ・リスク管理の多くの改善は、新しいコントロールから始まるのではありません。より良い問いから始まります。