シフトレフトセキュリティの経済学

過去数年間、何十もの SecOps および Detection and Response チームと協力してきましたが、上流でできるだけ多くのセキュリティ問題を修正することがいかに重要であるかが明確になりました。 または、より一般的に知られている「シフト レフト セキュリティ」。 大まかに言うと、「シフト レフト セキュリティ」には 3 つの陣営があります。1) 理解していない、2) 理解しているが実行していない、3) 理解しているが実行している。 あなたはその 3 番目の陣営に属しており、左にシフトすることは明らかであり、常識であると考えているかもしれません。 謙虚に申し上げておきますが、世界は広大であり、平均的な組織はセキュリティに関して非常に未熟です。 別の言い方をすれば、キャンプ 1 と 2 を合わせた数がキャンプ 3 を大幅に上回っています。

何故ですか？さて、「シフト レフト セキュリティ」は新しいものですが、さらに重要なことは難しいことです。それは、他の甘い誘惑に直面して野菜を一貫して食べるようなものです。セキュリティベンダーはすべて、左にシフトすることにより、より速い配達とコストを削減できると言いますが、私の意見では、それを有意に定量化​​することはありません。この分析では、予算のすべてのエグゼクティブとコントローラーが理解する「左のセキュリティ」に関するデータ、つまりビジネスエコノミクスに関するデータを実践者に武装させようとしています。これは、リスク削減エクササイズとして機能するだけでなく、ビジネスの結果を促進する、TAMの成長、販売サイクルの加速、製品の出荷、より速く、セキュリティを組み立てる必要性の重要なより広いテーマに適合します。

まず、定義をレベル設定します。 「シフト レフト セキュリティ」を行うということは、組織の開発ライフサイクルでセキュリティを早期に、そして多くの場合、私は通常のソフトウェア開発ライフサイクルのスーパーセットとして定義することを意味します。これには、従業員、ベンダー、セキュリティ管理、および組織のデジタルフットプリントとのすべての関係が含まれます。セキュリティの問題は、組織全体で伝播する前に、以前に防止または発見されましたが、実装が簡単で安価です。

今、分析のために。私の意見では、この主題は複雑すぎて高レベルの分析を行うには複雑すぎて、「左に移動すると10％速くなり、30％を節約する」などを主張します。変数が多すぎます。私のアプローチは、左にシフトする仮想組織の非常に具体的なマイクロ例をモデル化し、それから何を学ぶことができるかを見ることです。

以下のモデルのパラメーターには、利用可能なデータが不十分な場合にまとめようとする非常に大まかな推定（または、完全な推測）があります。 私の解説の情報源を読んで、もっと信頼できる研究を知っているなら私に知らせてください！ さらに、「データ侵害」が心配するサイバーイベントの唯一の形式ではありません。ブランド、信頼などのより曖昧な効果と比較してコストに関する堅実な研究があるため、私はそれらに固定しました。

モデル1 – 組織全体で実装されたMFA

シンプルな開始。 「すべての組織がどこでもMFAが有効になっている」と考えている場合は、リアリティチェックが必要です。 それにもかかわらず、組織全体に展開された単一のコントロールとしてのMFAは、非常に直感的な例です。 MFAは、そもそも多くの危険な資格的行動が可能になるのを防ぐため、左に移動すると見なされます。 このモデルは、仮想的な組織とMFAをどこにでも適切に展開し、1FAのみを使用しているものと比較します。

モデルコスト：

• SOC の人件費 = （1FA のみに関連するユーザーごとの 1 日あたりのログイン アラート数）*（組織の規模）*（SOC アナリストの年間平均コスト）/（1 日あたりのアナリストごとにトリアージされたアラート）
• SOC ソフトウェア コスト = （1FA のみに関連する 1 日 1 ユーザーあたりのログイン アラート）*（組織の規模）*（調査を支援するためのアラートごとのソフトウェア コスト）*（365 日）
• ドルによる生産性の損失 = (ユーザーごとの 1 日あたりの MFA の平均数) * (組織の規模) * (MFA までの時間 (秒) / (1 分 / 60 秒) / (1 時間 / 60 分) / (1 日 / 24 時間) * (平均年間人件費)
  
• 侵害コストの期待値 = （データ侵害の平均コスト）*（データ侵害の可能性）
  

モデル パラメータ:

• 組織サイズ： 10,000人の従業員（ユーザー）
• MFAへの時間（Google Authまたは同等）：10秒[1]
• ユーザーあたり1日あたりのMFAの平均数：1 [2]
• 平均年間従業員費用：100,000ドル
• 1FAのみに関連する1日あたりのユーザーごとのログインアラート（異常なアクセス、パスワード共有など）：0.01 [3]
• 1日あたりのアナリストごとにトリアージされたアラート：100 [4]
• 平均年間SOCアナリスト費用：100,000ドル
• 調査を支援するためのアラートソフトウェアコスト：$ 0.10 [5]
• 盗難または侵害された資格情報の結果としてのデータ侵害の割合：19％[6]
• データ侵害の平均コスト：4.35百万ドル[7]
• データ侵害の基本可能性：1.13％[8]
• MFAによるデータ侵害の可能性：0.92％[9]

正直なところ、この分析から、従来の MFA の摩擦が金額に換算してどれだけ積み重なったかに少し驚きました。 目に見えない MFA ソリューションを採用する理由はなおさらです。

モデル 2 — DevSecOps の適切な実行

DevSecOps はおそらく「シフト レフト セキュリティ」の最もよく発達したカテゴリであり、アプリケーションまたはインフラストラクチャのセキュリティ テストに焦点を当てた優れたツールが数多くあります。 ここで素晴らしいのは、摩擦なく開発者のワークフローに組み込まれたツールのように見えます。 悪い、またはセキュリティが右に保たれているということは、セキュリティ チームが開発から切り離され、本番環境に出荷された後にセキュリティの問題を発見しているように見えます。 このモデルは、DevSecOps を最大限に展開してソフトウェア開発を行っている組織と、ソフトウェア セキュリティに対して純粋に受動的なアプローチを取っている組織を比較しています。

モデルコスト：

• 開発者コスト=（組織ごとに開発された別個の生産アプリケーション） *（生産アプリケーションごとの脆弱性の平均数） *（時間の脆弱性を修復するための平均開発時間） *（1年 / 52週間） *（1週間 / 40時間労働） * （平均年間開発者コスト）
• セキュリティアナリストのコスト=（組織ごとに開発された別個の生産アプリケーション） *（生産アプリケーションごとの脆弱性の平均数） 労働時間） *（平均年間セキュリティアナリストコスト）
• 違反コストの期待値=（データ侵害の平均コスト） *（データ侵害の可能性）

モデル パラメータ:

• 組織によって開発された明確な生産アプリケーション：17 [10]
• 生産アプリケーションごとの脆弱性の平均数：30.59 [11]
• 開発で見つかった各脆弱性を修復するための平均開発時間：3.61時間[12]
• 生産で見つかった各脆弱性を修復するための平均開発時間：10.71時間[13]
• 平均年間開発者費用：150,000ドル
• 生産で見つかった各脆弱性を修復するための平均セキュリティチーム時間：3.10 [14]
• 平均年間セキュリティアナリスト費用：100,000ドル
• 脆弱性を修復するための平均平均時間 – スキャン周波数の低い – 1日あたり1〜12スキャン（シフト右セキュリティ）：217日[15]
• 脆弱性を修復するための平均平均時間 – 高スキャン周波数 – 1日あたり260+スキャン（左セキュリティのシフト）：62日[15]
• 高スキャン頻度による脆弱性の低下を想定：71％[16]
• アプリケーションの脆弱性の結果としてのデータ侵害の割合：43％[17]
• データ侵害の平均コスト：4.35百万ドル[6]
• データ侵害の基本可能性：1.13％[7]
• 高いスキャン頻度でデータ侵害の可能性：0.79％[18]

DevSecOps には、開発のさまざまな段階（単体テスト、統合テスト、システム テスト、ステージング、本番など）でのセキュリティ上の欠陥を修正するためのコストに関する優れた裏付けとなる研究がいくつかあるため、シフト レフトとシフト レフトの劇的な違いを見て驚くことはありませんでした。 まさにこのモデル。 2022 年に DevSecOps の擁護者にならないという言い訳はありません。これは、あらゆる規模のソフトウェア開発組織に当てはまります (これらの組織は、より広範な組織内のユニットである可能性があります)。

モデル 3 — 堅牢な従業員と資産のオンボーディングとオフボーディング

従業員と資産のオンボーディングとオフボーディングは、非常に過小評価されているセキュリティ ワークフローです。 正しく実行すると、クリーンなデータを作成し、厳密な制御 (EPDR、VPN、電子メール セキュリティ、ディスクの暗号化、組織によって制御されるブラウザーなど) とオンボーディングおよびオフボーディング時のアクセス状態を保証する機会が提供されます。 下手に行うと、余分な作業が発生し、物事を偶然または人間の手動ワークフローに任せることになります。 これらのプロセスにレールを敷くのに役立つシステムはたくさんあります。 このモデルは、完全なセキュリティ オンボーディングとオフボーディングを備えた組織と、手動でエラーが発生しやすいワークフローを備えた組織を比較します。

モデルコスト：

• 従業員のオンボーディングツールセットアップ時間コスト=（組織サイズ） *（組織のターンオーバーレート） *（数分で手動でオンボードする時間） *（1時間 / 60分） *（1週間 / 40勤務時間） *（1年 / 52 週） *（平均年間従業員費用）
• 請求可能なSOCコスト=（組織SOCサイズ） *（平均年間SOCアナリストコスト） *（適用可能な効率）
• 違反コストの期待値=（データ侵害の平均コスト） *（データ侵害の可能性）

モデル パラメータ:

• 組織の規模（1 年間一定）: 10,000 人の従業員（ユーザー）
• 組織の年間離職率: 47.2% [19]
• 平均年間人件費: 100,000 ドル
• 新しいノートパソコンに EPDR と VPN を手動でインストールして構成する時間: 20 分 [20]
• 組織の SOC サイズ: 3 FTE
• SOC アナリストの年間平均費用: $100,000
• 従業員と資産のオンボーディングの結果として、「誰が何を所有しているか」の明確なマッピングによる SOC 効率の向上: 10% [21]
• フィッシングの結果としてのデータ侵害の割合: 16% [22]
• 従業員の不適切なオフボーディングの結果としてのデータ侵害の割合: 10% [23]
• データ侵害の平均コスト: 435 万ドル [6]
• データ侵害の基本可能性: 1.13% [7]
• すべての従業員のラップトップで正しい制御が保証され、自動化されたオフボーディングによるデータ侵害の可能性: 0.85% [24]

人間は間違いを犯します。 繰り返しの作業を機械に任せます。 オンボーディングとオフボーディングのようなタスクで人間が間違いを犯すのは 5% の確率だと仮定しても、このモデルでは 472 個のエラーが、オンボーディングとオフボーディングを行うすべての従業員を占めています。 これは、テーブルから離陸するための多くのぶら下がっている果物のリスクです。 組織のためにこれを管理する堅牢なツールに投資してください。それだけで元が取れます。

結論

セキュリティは複雑なトレードオフのウェブであり、セキュリティを変えることも例外ではありません。 組織がMFAを実装していないため、可能な限り野生でアラートをまだ見ているとは信じられないので、私はこの分析演習を主に調査しました。 しかし、私はそれを手に入れます、基本は、Legacy IT Dextまたは官僚主義と戦うことの間で挑戦的です。 あなたの役割が何であれ、これにより、「左のセキュリティ」がどのようにビジネスの結果を促進し、経済学だけで必要な新しいツールの支払いを支払うことができるかについての新しい弾薬が得られることを願っています。