要約

  • RIPE NCC の2025年計画は、情報セキュリティ、リスク、コンプライアンスに300万ユーロを割り当て、そのうちコンサルティングに88万ユーロ、情報技術費用に86万ユーロを含んでいる。継続的な監視、アイデンティティガバナンス、特権アクセス管理、ガバナンス・リスク・コンプライアンスプラットフォーム、ISO 27001への取り組み、RPKI 保証などの目標を設定した。これらは具体的で理解しやすい管理投資であるが、公表された計画は、敵対者と攻撃経路を残余リスクに結び付ける脅威モデルにはなっていない。
  • 地域インターネットレジストリは異例の攻撃対象領域を持つ。通常の企業システムと、会員資格、権威ある登録データ、委任された管理権限、RPKI サービス、DNS インフラ、ポリシー記録、数千のネットワーク事業者との関係を組み合わせている。最も深刻なインシデントは、認証された不正な変更であり、派手な停止ではないかもしれない。
  • サービス重要度表は有用だが不完全である。RIPE NCC は8つのサービスの機密性、完全性、可用性を公開しており、RPKI に非常に高い完全性と可用性要件を、RIPE データベースに非常に高い完全性要件を設定している。重要度は障害の結果を説明する。脅威モデルは、能力のある攻撃者、前提条件、依存関係、管理の想定、そしてその障害に至るもっともらしい順序も特定する必要がある。
  • 独立性は、外部の者がモデルを発明することを必要とせず、悪用可能な詳細を公開することを正当化しない。経営陣とエンジニアは運用モデルを構築すべきである。理事会の委員会、またはそれに報告する専門家が、範囲、前提、ベンダーのインセンティブ、除外されたシナリオ、残余リスクを許容可能と宣言するために使用される証拠に挑戦すべきである。
  • セキュリティ認証、ペネトレーションテスト、脆弱性数、監視範囲は異なる質問に答える。それらだけでは、支出が最も重大なレジストリ攻撃経路に割り当てられていることを示さない。準拠した管理が稼働していても、危険なアイデンティティ、サプライヤー、法的権限、または復旧の前提が評価範囲外にある可能性がある。
  • メンバーは、保護された技術附属書とともに安全な脅威モデル要約を受け取るべきである。公開記録には、重要な権限とサービス、敵対者のクラス、主要な依存関係と集中リスク、影響の範囲、リスク選好、資金提供された緩和策、残余リスクの所有者、保証方法、理事会の決定を記載すべきである。これにより、攻撃者に地図を与えることなく、メンバーが予算の方向性を検証できるようになる。

セキュリティ予算は信念の配分である

すべてのセキュリティ購入には、将来に関する信念が含まれている。マネージド検知契約は、より迅速な観測と対応が損失を減らすと仮定する。特権アクセスソフトウェアは、強力な資格情報が害への中心的な経路であると仮定する。ガバナンス・リスク・コンプライアンスプラットフォームは、義務と管理を一貫して追跡することが難しいと仮定する。認証プログラムは、規律ある管理と外部保証が信頼を向上させると仮定する。第二のデータセンターは、中断が十分に起こり得るため、重複を正当化すると仮定する。トレーニングは、スタッフの行動が重要なエクスポージャーであると仮定する。

それらの信念はすべて合理的かもしれない。ガバナンスの問題は、それらが暗黙のままであるときに始まる。評判の良い製品、緊急の脆弱性、コンプライアンス期限のリストを提示された理事会は、各項目を承認しながらも、どの制度的災害を防ぐことが最も重要かを決定することは決してない。結果として得られるプログラムは、忙しく、高価で、専門的に管理されていても、ベンダーカテゴリーから組み立てられ、レジストリの結果からは組み立てられていない可能性がある。

これは、セキュリティ支出に自然な上限がないため重要である。常に別のアラートソース、監査、コンサルタント、アクセス製品、インテリジェンスフィード、バックアップ、訓練、または認証が存在する。非技術系の取締役が、重要なインフラの保護に必要と説明される提案を拒否することは難しい。成功した年は目に見える反実仮想を生み出さない。侵害の不在は、効果的な管理、運、静かな攻撃者の存在、または誇張された脅威の証拠となり得る。したがって、予算は、組織がどのリスクをどのラインが削減するのか、そしてどの証拠が決定を変えるのかを言明できない限り、蓄積する傾向がある。

脅威モデルは、欠けている配分文書である。名前付きの攻撃者を予測したり、すべてのシナリオに正確な確率を割り当てたりする必要はない。重要な資産と権限、動機と能力を持つ主体、信頼境界、依存関係、可能性のある経路、障害の結果、既存の防御を特定すべきである。証拠が強い場所、判断がデータの代わりとなる場所、理事会が受け入れる残余リスクを示すべきである。

公開記録は、名前付きの RIR が内部の脅威分析を欠いていることを立証しない。セキュリティチームは通常、機密性の高いモデル、アーキテクチャ、テスト結果を制限されたままにしている。より狭い発見は、公表された支出と管理のコミットメントでは、メンバーが独立して挑戦されたモデルが配分を統治しているかどうかを判断できないということである。これは開示と監視のギャップであり、技術的過失の証明ではない。

レジストリは単なる中堅企業ではない

RIR には、他の多くの非営利団体と同様に、給与計算、電子メール、ラップトップ、人事記録、財務システムがある。ランサムウェア、請求書詐欺、資格情報の盗難、脆弱なソフトウェア、悪意のある内部関係者から防御しなければならない。従来の企業管理は必要である。しかし、それだけでは組織の独自の権限を説明するには十分ではない。

レジストリは、組織をインターネット番号リソースに結び付ける記録を維持している。承認された連絡先がサービスを要求・管理するポータルを運営している。ネットワーク事業者、研究者、法執行機関、セキュリティチーム、商用サービスによって使用される権威あるデータを公開またはサポートしている。RPKI 素材を発行・ホストし、事業者が経路起源の主張を検証するのに役立てている。DNS および測定サービスを運営または貢献している。ポリシー、会員資格、選挙、料金に関する制度記録を保持している。スタッフは、文書、移管、アカウント管理、コンプライアンス、閉鎖について重大な判断を下す。

これにより、いくつかの形態の害が生じる。機密の会員データが暴露される可能性がある。レジストリデータが改ざんされる可能性がある。正当な保有者がアカウント管理を失う可能性がある。虚偽の組織や連絡先が権限を得る可能性がある。ハイジャックや詐欺を支援する形でリソース記録が変更される可能性がある。証明書や承認が誤って発行、失効、または保留される可能性がある。ルーティングインシデントの最中に、事業者がまさに必要とするときにサービスが利用できなくなる可能性がある。サプライヤーが過剰なアクセスを保持する可能性がある。技術的に正しいアクションが詐欺的な指示で行われる可能性がある。運用上の決定が合法的であるが適切に統治されておらず、その後セキュリティの必要性として防御される可能性がある。

可用性は一つの側面に過ぎない。最も危険な攻撃は、すべてのダッシュボードを緑のままにするかもしれない。攻撃者が有効な資格情報を取得し、承認されたインターフェースを通じて妥当な変更を行った場合、システムはそのアクションを正常に処理できる。侵害されたベンダーアカウントが承認されたメンテナンス経路を通じてインフラを変更した場合、監視は正当なアイデンティティが承認された操作を行っていることを記録するかもしれない。リソース移管中にスタッフが偽造された企業文書を受け入れた場合、その弱点は法的検証、アイデンティティ、テクノロジーの境界にある。

したがって、モデルはデバイスではなく、レジストリの権限から始めなければならない。誰がどの事実を変更できるか、どの権限を付与できるか、どのオブジェクトに署名できるか、どの移管を承認できるか、どの証拠を抑制できるか、どのサービスを復元できるか、どの管理を無効にできるかを問うべきである。そうして初めて、ツールを実際の損失に対して評価できる。

公表された RIPE NCC の支出は、管理策を示すが、脅威の議論は示さない

RIPE NCC 2025年活動計画と予算は、情報セキュリティ、リスク、コンプライアンスに300万ユーロを割り当て、計画内の比較ベースラインから50%増加した。この活動には、9人の常勤換算ポジション、コンサルティングに88万ユーロ、情報技術費用に86万ユーロが含まれていた。記載された作業には、RPKI 向け ISAE 3000/SOC 2タイプ2保証報告書、ISO 27001コンプライアンス、管理監視プログラム、ガバナンス・リスク・コンプライアンスプラットフォーム、意識向上の拡大、脆弱性ダッシュボード、アイデンティティガバナンスと管理、特権アクセス管理、24時間監視、アプリケーションセキュリティの強化が含まれていた。

これらは異常に具体的な予算開示である。メンバーは、組織全体のサイバーセキュリティラインだけではなく、人員、コンサルティング、ソフトウェア、コミットメントのリストを見ることができる。計画の別の説明によると、追加の運営費用90万ユーロがセキュリティ重点を支え、そのうち40万ユーロがソフトウェア、50万ユーロが資格のあるスタッフの採用が難しい場合のコンサルタントや採用に使用される可能性があった。

2026年活動計画と予算は、コンプライアンスと回復力の方向性を継続している。ISO 27001認証監査、定期的な RPKI 保証、クラウド関連の継続性作業、リスク・コンプライアンスプラットフォームの運用を説明している。その軌道は理解できる:管理されたシステムを構築し、管理策を証明し、継続的に監視し、脆弱または非公式な慣行への依存を減らすことである。

これらの出版物が示していないのは、ポートフォリオの背後にある因果関係の階層である。アカウント乗っ取りがソフトウェアサプライチェーンの侵害よりも優先されるかどうか、リポジトリ整合性イベントが2日間のポータル停止よりも優先されるかどうか、内部関係者の共謀、詐欺的な企業文書、国家による強制、クラウド集中が独立した挑戦を受けたかどうか、資金提供された管理策後にどの残余リスクが受け入れられたかをメンバーに伝えていない。活動の説明は、組織が何をしようとしているかを説明する。ある緩和策を別のものより優先するために使用される決定ルールを明らかにしていない。

その区別はプログラムを軽視すべきではない。公開予算には、資格情報、アーキテクチャ図、既知の弱点、攻撃シミュレーションを含めることはできない。しかし、削減されている高レベルのシナリオ、責任者、使用された証拠、期待されるリスクの動き、それをテストする保証を安全に記載することはできる。その橋渡しがなければ、メンバーは支出と活動を検証できるが、優先順位は検証できない。

管理カタログは攻撃経路の代わりにはならない

ISO 27001、SOC スタイルの保証、NIST サイバーセキュリティフレームワーク、内部ポリシーカタログはセキュリティ業務を整理する。これらは、組織が責任を割り当て、管理策を評価し、証拠を維持し、再現性を向上させるのに役立つ。その価値は、多様なサービスとサプライヤーを持つ組織において特に明確である。一人のエンジニアの記憶にのみ存在する管理策は信頼できない。

しかし、カタログと脅威モデルは異なる質問に答える。カタログは、期待されるプラクティスが存在し、機能しているかどうかを問う。脅威モデルは、特定の主体がどのようにして、それらのプラクティスにもかかわらず、またはそれらを回避して、特定の損失を生み出すことができるかを問う。前者はカバレッジを促進する。後者は因果関係と構成をテストする。

多要素認証を考えてみよう。その存在は強力なアクセス制御の期待を満たすことができる。モデルはそれでも、登録がソーシャルエンジニアリングされる可能性があるか、復旧が第2要素をバイパスするか、企業連絡先が最新であるか、サービスアカウントが免除されているか、セッショントークンが盗まれる可能性があるか、ヘルプデスクスタッフがアクセスをリセットできるか、特権アクションに第二者が関与する必要があるかを問わなければならない。弱点はログイン画面の外にあるかもしれない。

バックアップも同じである。バックアップ管理はスケジュール通りに動作するが、復旧資格情報が侵害されたアイデンティティドメインを共有している、イミュータブルコピーが古すぎる、データ整合性が確立できない、または重要なサービスに対して復旧容量が不十分である可能性がある。監視はすべてのサーバーをカバーできるが、信頼できるアプリケーションを通じて行われた変更を見逃す可能性がある。ベンダーは現在の証明書を保持しながら、集中リスクを生み出す可能性がある。ペネトレーションテストはソフトウェアの欠陥を見つけるが、偽造された合併文書がアカウントの権限を移転するかどうかはテストしない。

NIST のサイバーセキュリティフレームワーク2.0は、組織が統治、識別、保護、検知、対応、復旧を行うべきであり、優先順位はミッションとリスクを反映すべきであると明示している。これは有用な共通言語であり、普遍的な答えではない。レジストリは依然として、独自の望ましくない結果を定義し、攻撃に基づいたプロファイルを選択しなければならない。認識可能なすべての管理策を購入することは、可能でも責任あることでもない。

重要度はモデルの結果の半分である

RIPE NCC は、8つのサービスにわたるサービス重要度評価を公開している。機密性、完全性、可用性をカバーし、RPKI の完全性と可用性を非常に高く評価している。RIPE データベースには非常に高い完全性、高い機密性、高い可用性を与えている。RIPE NCC アクセスは機密性と完全性に非常に高い評価を受け、LIR ポータルは非常に高い機密性と完全性、中程度の可用性を持つ。K-root と権威 DNS は高い完全性と可用性の評価を持つ。

これは公開された強力な推論である。サービスが異なる方法で失敗し、整合性が継続的なアクセスよりも重要であることを認識している。また、コミュニティ評価は、法的、財務的、またはその他のリスクの内部検討によって増加できるが、減少はできないことも記録している。この表は、セキュリティチームにサービス目標、管理選択、監視、クラウド決定の基礎を提供する。

しかし、重要度は損害の側から始まる。RPKI の完全性の喪失は重大であると述べている。どの順序がもっともらしいかは述べていない:メンバーアカウントの侵害、内部ロールの悪用、署名ロジックの欠陥、依存関係の失敗、誤った復旧、強制されたアクション、サプライヤーの侵害、または誤った許可された失効。それぞれの経路には異なる防止と復旧対策が必要である。

また、一つの評価で分布が明らかになるわけではない。すべての依拠当事者に影響を与える1時間の停止は、一人のリソース保有者に影響を与える静かな整合性エラーとは異なる。公開ウェブサイトの改ざんは、権威ある登録データの変更とは異なる。従業員記録に関する機密性イベントは、メンバーアイデンティティ証拠の開示とは異なる。モデルは、各重要なサービスを少数の境界のある損失シナリオとペアにし、各順序をどの管理策が中断するかを述べるべきである。

したがって、重要度表は成熟した脅威モデルの最初のページになることができる。最終ページとして扱うべきではない。理事会は、重大な結果から攻撃者、依存関係、経路、予防管理、検知、復旧、残余エクスポージャーへの橋渡しを必要としている。

脅威セットはサイバー犯罪を超えて広がる

ランサムウェアと金銭的目的の侵入は注目に値する。RIR は有用な資格情報、個人情報、支払いデータを保持しており、停止は迅速な復旧への圧力を生み出す可能性がある。しかし、一般的なサイバー犯罪で止まるレジストリ脅威モデルは、身代金ではなく権限に関心のある主体を見逃すだろう。

リソースハイジャッカーは、登録または認可データの信頼できる変更を望むかもしれない。制裁回避者は、組織やリソースの管理を隠蔽しようとするかもしれない。詐欺的な買い手は、虚偽の取得文書を提示するかもしれない。国家主体は、メンバー記録へのアクセス、戦略的可視性、またはトラストサービスを混乱させる能力を評価するかもしれない。商業インテリジェンス収集者は、非公開の連絡先や組織データを求めるかもしれない。不満を持つ内部関係者は、正当なアクセスとレビューしきい値の知識を持つ可能性がある。イデオロギー的主体は、当惑やサービス中断を求めるかもしれない。サプライヤーの侵害は、無関係な攻撃者にレジストリへの経路を与える可能性がある。

悪意のない脅威源も存在する。スタッフが誤った高影響の変更を行う可能性がある。ポリシーが予期しない技術的結果をもたらす可能性がある。クラウドプロバイダーが故障する可能性がある。自動化された管理が古いデータに基づいて動作する可能性がある。裁判所命令や規制解釈により、厳しい時間的制約の下での行動が強制される可能性がある。自然災害、停電、通信障害が地域のインシデントと重なる可能性がある。復旧の試みが元の障害よりも整合性を損なう可能性がある。

主体クラスに名前を付けることのガバナンス上の価値は、演劇的な憶測ではない。動機と能力は、どこに使うかを決定する。ランサムウェア防御は、エンドポイントの封じ込め、アイデンティティ、バックアップ、復旧に重点を置く。リソース管理詐欺に対する防御には、企業アイデンティティ検証、取引保留、独立確認、可逆的な状態が必要である。能力のある国家主体に対する防御には、より強力な分離、サプライヤー審査、一部の境界管理が失敗するという想定が必要である。エラーに対する防御には、変更設計、二重管理、シミュレーション、ロールバックが必要である。

理事会は、モデルに経営陣にとって都合の悪い主体を含めるよう主張すべきである。それには、上級内部関係者、信頼できる請負業者、特権サプライヤー、法的に認可された外部要求が含まれる。包含は不正行為を主張するものではない。信頼ステータスが分析の免除になるのを防ぐ。

アイデンティティ復旧は憲法上のセキュリティ機能である

RIR セキュリティはしばしば技術的な分野として現れるが、アイデンティティ復旧は誰が機関の権利を行使できるかを決定する。メンバーがアクセスを失ったり、所有権を変更したり、企業連絡先を置き換えたり、アカウントについて異議を唱えたりした場合、スタッフはどの人間がどの法人を代表するかを判断しなければならない。その決定は、リソース、投票、請求、移管、認証サービスを制御できる。

通常のセキュリティの本能は、復旧を可能にするが困難にすることである。ガバナンスの要件はより厳しい:復旧は一貫性があり、レビュー可能であり、詐称者と機関のエラーの両方に耐性がなければならない。文書、電子メールドメイン、電話、役員証明書に基づくプロセスは、ソフトウェアの脆弱性なしに失敗する可能性がある。法域によって企業記録の管理方法は異なる。グループは再編成される。倒産は競合する代表者を生み出す。一部のメンバーは紛争地域や制裁下で活動している。国別インターネットレジストリとスポンサー組織は、別の権限層を追加する。

独立したモデルは、少なくとも4つのアイデンティティシーケンスを追跡すべきである。第一は、既存ユーザーの資格情報の盗難。第二は、新しい承認された連絡先の詐欺的な登録。第三は、復旧または企業変更ルートの悪用。第四は、内部関係者または請負業者が正当な指示の外で有効な特権を使用すること。管理策には、独立した連絡先への通知、高影響変更の冷却期間、二重承認、証拠保持、法域を認識した検証、異常検知、迅速な異議申し立てルートを含めるべきである。

メトリクスはこの機能をログイン統計に減らしてはならない。高い多要素認証率は、復旧例外についてはほとんど語らない。確認されたアカウント乗っ取りの数が少ないことは、強力な管理、低い検出、または狭い定義を反映する可能性がある。より良い証拠はシナリオテストである:レッドチームがもっともらしい企業文書と侵害された電子メールで権限を得ることができるか、スタッフが代表者間の競合を検出できるか、機関が詐欺的な変更を監査証跡を破壊せずに元に戻せるか。

アイデンティティ復旧を憲法上のものと呼ぶのは誇張ではない。それは誰が会員資格とレジストリ権限を行使できるかを決定する。脅威モデルは、それを暗号鍵の管理と同じくらい真剣に扱うべきである。

RPKI 保証はソフトウェアだけでなく権限もテストしなければならない

RPKI は、脅威主導のガバナンスにとって特に明確なケースを生み出す。このサービスは、リソース保有者の権限を暗号的に検証可能なオブジェクトに結び付ける。そのセキュリティは、ソフトウェア、鍵、リポジトリ、アカウントアイデンティティ、証明書ポリシー、運用ロール、公開、依拠当事者の行動に依存する。ある層での強力な管理策は、別の層での未検証の権限経路を補償できない。

保証報告書は、指定された管理策が一定期間にわたって適切に設計・運用されたかをテストできる。それは価値がある。制度的な主張よりも信頼性の高い規律を示すことができる。しかし、範囲と基準が重要である。報告書は、メンバー側の侵害、第三者依存関係、ポリシー決定、法的指示、または指定されたシステム境界外の障害モードを除外しながら、認証サービスを評価する可能性がある。

モデルは、管理策の名前から始めるのではなく、望ましくない結果を特定すべきである。これには、不正な発行、誤った失効、有効な素材の発行失敗、不整合な状態の公開、署名能力の喪失または誤用、復旧の遅延、有効だが敵対的な変更につながるアカウント乗っ取り、インシデント中の事業者の混乱が含まれる。そして、どの管理策が各結果を防止、検出、修復するかを示すべきである。

独立性は境界で最も有用である。サービスを構築したエンジニアは実装を理解している。運用スタッフは障害の挙動を知っている。法務スタッフは条件と権限を理解している。メンバー事業者は検証が経路にどのように影響するかを知っている。独立した挑戦者は、これらの領域を結び付ける想定をテストすべきである:契約上承認されたアクションが運用上危険である可能性があるか、復旧タイミングがルーティングの現実に合っているか、依拠当事者がレジストリエラーと保有者の行動を区別できるか、主要サービスが障害時に通信が利用可能か。

公開開示は高レベルに留めるべきである。メンバーが鍵の場所、緊急資格情報、悪用可能な依存関係を知る必要はない。メンバーは、テストされたシナリオクラス、保証境界、重要な除外、復旧目標範囲、残余リスクを誰が受け入れたかを知る必要がある。それらの境界なしの保証バッジは、証拠がサポートするよりも多くの信頼を生み出す可能性がある。

サプライヤーはモデル化されていない制御プレーンになり得る

現代のレジストリは、クラウドプラットフォーム、通信、アイデンティティサービス、マネージド検知、ソフトウェアライブラリ、専門アドバイザー、データセンター事業者、専門請負業者に依存している。それぞれがセキュリティを向上させる可能性がある。それぞれが、組織外にアクセス、知識、または復旧力を集中させる可能性もある。

NIST CSF 2.0は、サプライチェーンリスクをガバナンスの一部として扱っている。その成果は、契約における要件、関係開始前のデューデリジェンス、関係全体を通じた評価、インシデント対応と復旧への関連サプライヤーの包含を求めている。論理は単純である:レジストリは、重要なコンポーネントを運用するサプライヤーを購入の詳細として扱いながら、サービスのリスクを管理していると主張することはできない。

脅威モデルは、ベンダーだけでなく依存関係も記録すべきである。ベンダーアカウントが停止された場合、レジストリは運用できるか?データと構成をエクスポートできるか?暗号鍵を誰が管理しているか?サプライヤーはレジストリの承認なしに変更をプッシュできるか?どの下請け業者が情報にアクセスできるか?監視はそれが観察する環境から独立しているか?組織はアラートに挑戦したり、サービスを復旧したりするスキルを持っているか?交換にはどのくらいの時間がかかるか?

マネージドセキュリティは特別な循環を生み出す。同じベンダーがリスクの定義、製品の推奨、実装、監視、そしてそれが機能しているという報告を支援するかもしれない。これらの役割のいずれもそれ自体が不適切ではない。それらが一緒になると、独立した証拠を弱める。少なくとも一つの保証ルートは、評価される商業チェーンの外側に位置すべきである。理事会の挑戦者は、範囲を検査し、省略されたシナリオをテストし、経営陣やベンダーが結論を編集することなく報告できるべきである。

出口はセキュリティ管理である。耐え難いサービスや知識の喪失なしに終了できないサプライヤー関係は、レバレッジと制度的依存の単一点を生み出す。契約は、ログへのアクセス、ポータブル構成、インシデント協力、下請け業者の可視性、削除証拠、テスト済みの移行、紛争中の継続性を提供すべきである。モデルは、これらの義務を技術的管理の隣に置くべきであり、取締役がサイバーリスクに結び付けることのない別の調達付録の中に置くべきではない。

セキュリティメトリクスは間違ったプログラムに報いる可能性がある

セキュリティプログラムには測定が必要だが、簡単に数えられる活動が意味のある証拠を押しのける可能性がある。閉鎖された脆弱性の数、訓練を受けたスタッフの数、処理されたアラートの数、カバーされたデバイスの数、承認されたポリシーの数は、有用な運用指標である。これらは、制度的リスクが低下したことの証明として提示されると危険になる。

チームは、一つの権限の欠陥が残っている間に、多くの低リスクの調査結果を閉鎖できる。訓練完了率は100%に達するかもしれないが、復旧スタッフが争われた企業アイデンティティをリハーサルしたことがない。監視範囲は拡大するかもしれないが、サプライヤーログは利用できないままである。平均修復時間は改善するかもしれないが、それは難しいアーキテクチャ上の弱点が再分類または受け入れられたためである。クリーンな監査は狭い範囲を反映するかもしれない。報告された重大インシデントのない年は、検出されていない侵害と共存する可能性がある。

脅威主導のメトリクスはシナリオから始まる。それぞれの重大な結果について、理事会は、予防障壁がテストされたか、独立した信号が失敗を検出するか、アクションを封じ込められるか、復旧が整合性を維持するかを問うべきである。どのくらいの重要な経路が一つのアイデンティティプロバイダー、一つのサプライヤー、一つの管理者クラス、一つの通信チャネルに依存しているかを知るべきである。期限を過ぎた高リスク例外と、受け入れられた残余リスクの経過期間を見るべきである。

訓練の証拠は特に価値がある。シミュレートされたアカウント管理紛争の後、信頼できる権限を確立するのにどれくらいの時間がかかったか?侵害された管理ドメインから RPKI 公開を復旧できたか?メインのウェブサイトと電子メールが利用できない場合、メンバーとの通信は継続できたか?スタッフは不正だが技術的に有効な変更を特定できたか?訓練は、ツールでは解決できないポリシー、契約、または人員の依存関係を明らかにしたか?

要点は、ダッシュボードに不確実性を減らすことではない。最も深刻なリスクのいくつかは頻度データに抵抗する。理事会は、測定とともにナ arrative 判断を受け取るべきである:脅威環境で何が変わったか、どの想定が失敗したか、何が学ばれたか、どの投資がその結果として動いたか、何が未テストのままか。

独立した挑戦は報告関係であり、コンサルタントのラベルではない

外部の企業は自動的に独立しているわけではない。推奨された管理策を販売したり、更新を経営陣に依存したり、システムを設計したり、同じ証拠に依存したり、成功を自社のサービスを中心に定義したりする可能性がある。逆に、内部のセキュリティリーダーは厳密な分析を生み出すことができ、理事会委員会は効果的な挑戦を生み出すことができる。独立性は、権限、インセンティブ、アクセス、報告から生じる。

経営陣は運用上の脅威モデルを所有すべきである。エンジニア、レジストリスタッフ、法律顧問、メンバーサービス担当者、コミュニケーションチームは不可欠な知識を保持している。それらを排除して、切り離された年次レビューを優先すると、洗練されているが浅い文書が生まれる。モデルは、システム、サプライヤー、ポリシー、法律、インシデントとともに変化しなければならない。

独立した層は、理事会または理事会委員会に報告すべきである。アーキテクチャ、リスク受容、インシデント、テスト結果、契約、関連スタッフへのアクセスを持つべきである。サンプルとシナリオを自由に選択できるべきである。商業的な利害関係を開示し、発見から自動的に実装作業を得るべきではない。その報告書は、経営陣の事実、専門家の判断、欠落した証拠、不一致を区別すべきである。

ARIN の公開されたリスク・サイバーセキュリティ委員会憲章は、一つのガバナンスリファレンスを提供している。委員会は組織的およびサイバーリスクを監督し、リスク登録をレビューし、年次のサイバーセキュリティリスク評価を受け取り、管理策、コンプライアンス、技術的負債、保険を検討できる。初期のバージョンは、外部の独立した意見を得る能力を明示的に言及していた。憲章は、特定のモデルの内容や独立性を証明するものではない。理事会レベルの権限がどのように割り当てられるかを示している。

RIPE NCC の場合、同等の公開声明は、どの執行理事会の機関が脅威モデルの挑戦を所有しているか、どのくらいの頻度でモデルをレビューするか、いつ独立した専門知識が使用されるか、重要なリスク受容がどのようにして理事会全体に届くかを特定できる。組織は保護された報告書を明らかにする必要はない。説明責任のルートを明らかにすべきである。

理事会は何が失われるかを決定しなければならない

技術チームは悪用可能性を推定し、管理策を設計できる。彼らだけでは、メンバーの資金をどれだけ使うか、どのサービスの低下が許容できるか、法的またはサプライヤーの集中が許容可能か、どの残余リスクが組織に属するかを正当に決定できない。これらは、技術的証拠に基づくガバナンスの決定である。

理事会は損失の声明から始めるべきである。リソース保有者の権限の不正な変更は許容できないと決定するかもしれない。権威あるデータが健全であるならば、一定期間のポータル利用不可は受け入れられるかもしれない。単一の従業員またはサプライヤーが重要な変更を実行し隠蔽してはならない。主要なクラウドアイデンティティドメインの喪失からの復旧は実証されなければならない。特定のレガシー依存関係は、補償管理とともに2年間残るかもしれない。

そのような声明は、トレードオフを可視化する。整合性が最も重要である場合、支出は広範な監視から取引検証と復旧設計にシフトするかもしれない。サービスが6時間の中断に耐えられる場合、ほぼゼロダウンタイムの高価な約束は、サイレント変更リスクを減らすことほど価値がないかもしれない。サプライヤーからの撤退に1年かかる場合、別の製品が集中を隠すことはできない。理事会が緩和コストが不釣り合いであるためにリスクを受け入れた場合、メンバーは少なくともカテゴリーと責任ある決定を見ることができる。

取締役は、システムを運用しているふりをすることなく挑戦するのに十分な技術リテラシーを必要とする。どの証拠が尤度をサポートするか、どのシナリオが除外されたか、同じ当事者が管理策を設計しテストしたかどうか、組織は管理策が失敗したことをどのように知るか、緩和後にどのような損失が残るか、より安価なまたは非技術的な代替案が検討されたかを問うべきである。コンセンサスだけでなく、反対意見も要求すべきである。

最終決定は記録されるべきである。リスク受容記録なしに承認されたセキュリティ予算は、経営陣に支出から選好を推測させる。それは説明責任を逆転させる。理事会は選好を設定し、残余エクスポージャーを受け入れるべきである。経営陣はその範囲内で実装すべきである。

公開説明責任は攻撃者のハンドブックを必要としない

セキュリティの秘密は時として正当である。詳細なアーキテクチャ、脆弱性、特権ロール、復旧素材、サプライヤーの弱点、訓練の注入は攻撃を可能にする。これらのリスクを無視するガバナンス要求は無責任であろう。しかし、選択肢は完全な公開と沈黙の間ではない。

安全な公開要約は、組織の重要な権限とサービスカテゴリー、検討された広範な敵対者クラス、害の次元、主要な集中と依存関係のテーマ、リスク評価方法、理事会の選好、資金提供された管理策のカテゴリー、独立した挑戦の取り決め、レビュー日、残余リスクの所有者、復旧訓練が目標を達成したかどうかを述べることができる。治療中の重大な弱点があることを、その場所を特定せずに開示できる。

より詳細な情報は、機密保持のもとで選出された理事と共有できる。さらなる附属書は、小規模なセキュリティ委員会と独立評価者に限定できる。悪用可能な証拠は、承認された運用スタッフに残すことができる。この階層化されたアクセスにより、理事会は決定するのに十分な情報を、メンバーはそれを説明責任に問うのに十分な情報を得ることができる。

インシデント後、危険が後退するにつれて開示は拡大すべきである。RIPE NCC の責任ある開示ポリシーは、主要なセキュリティ問題について、脆弱性と修復を説明する報告書がケースバイケースで提供される可能性があると述べている。成熟したインシデント報告書は、どの脅威モデルの想定が失敗したか、そのシナリオが検討されていたか、どの管理策または依存関係が予期せぬ動作をしたか、予算の優先順位がどのように変わったかも説明すべきである。

集計開示は経時的な比較に役立つ。メンバーは、テストされた復旧を欠く許容できないシナリオの数が減少しているかどうか、重要なサプライヤーの出口がテストされているかどうか、高リスク例外が期限を超えて経過しているかどうか、独立したレビューが繰り返しの省略を見つけたかどうかを見るべきである。これには、脆弱なホストに名前を付ける必要はない。

最小限の独立した脅威モデル記録

第一の要素は範囲である。記録は、レジストリの権限、重要なサービス、機密データ、権威ある公開物、メンバーアイデンティティ、内部管理、外部依存関係を列挙すべきである。除外事項を説明し、誰が承認したかを特定すべきである。企業ネットワークに限定されたモデルは、レジストリ権限をカバーしているとして提示されるべきではない。

第二は、主体と経路の分析である。金銭的に動機付けられた犯罪者、リソース管理詐欺、能力のある国家主体、内部関係者、請負業者、侵害されたサプライヤー、誤ったスタッフの行動、強制的な法的または規制上のイベントを含めるべきである。高影響の結果ごとに、前提条件、信頼境界、もっともらしい順序、それらを中断する管理策を特定すべきである。

第三は、結果と選好である。組織は、機密性、完全性、可用性、事業者への害、メンバーへの害、法的エクスポージャー、評判の損害、地域の依存関係を評価すべきである。どの結果が許容できないか、どれが削減されるか、どれが期間限定で受け入れられるかを述べるべきである。

第四は証拠である。モデルは、インシデント、ニアミス、脆弱性報告書、アーキテクチャレビュー、アクセスデータ、訓練、メンバー紛争、サプライヤーテスト、脅威インテリジェンスに基づくべきである。推測にはラベルを付けるべきである。重大なシナリオは、頻度データが乏しくても治療に値するが、その判断は可視化されるべきである。

第五は、管理策と復旧のマッピングである。資金提供されたすべての管理策は、一つ以上のシナリオに結び付けるべきである。すべての重大なシナリオには、予防、検出、封じ込め、整合性を維持する復旧、または明示的な残余リスク決定が必要である。管理策には、ソフトウェアだけでなく、契約、人員、二重権限、法的検証、通信を含めるべきである。

第六は独立した挑戦である。記録は、挑戦者、任命権限、利害関係、アクセス、方法、重要な不一致、経営陣の対応を特定すべきである。理事会は、受入、必要な変更、レビュー日を記録すべきである。

これは、一つの巨大な年次文書の議論ではない。決定が変わるにつれて維持される簡潔なモデルは、儀式的な報告書よりも有用である。ガバナンス記録は、生きた技術素材から組み立てられながら、脅威から予算への安定したチェーンを維持することができる。

支出はモデルに従うべきであり、モデルは支出を生き残るべきである

即時の予算テストは単純である。すべての重要なサイバーラインについて、メンバーと取締役は問うことができる:これはどの高影響シナリオを削減するのか?どのように?どの程度、またはどの目標状態まで?どのような依存関係を作り出すか?誰がテストするか?何が更新、再設計、または終了を引き起こすか?答えられないラインはそれでも必要かもしれないが、まだ優先順位を獲得していない。

逆のテストはより示唆に富む。すべての許容できない、または高残余のシナリオについて、理事会は資金提供された対応が存在するかどうかを見るべきである。存在しない場合、ギャップが技術的非現実性、比例性、タイミング、または監視を反映しているかどうかを知るべきである。これは、製品カテゴリーに対応しない静かなリスクを捕らえる。

調達はモデルの独立性を維持すべきである。サプライヤーは、自社の製品だけが満たす要件を書き、リスク削減を定義し、ソリューションを実装し、唯一の成功証拠を提供してはならない。契約は、測定可能な結果、データアクセス、インシデントサポート、ポータビリティ、出口を要求すべきである。独立したテストは、その作業を評価するベンダーを通してではなく、組織に報告すべきである。

予算の段階的執行も不確実性に従うべきである。レジストリは、疑わしい経路が重要かどうかを学ぶために、複数年にわたるプログラム全体をコミットする必要はない。永久的な管理策を購入する前に、境界のあるアーキテクチャレビュー、敵対的訓練、または復旧テストに資金を提供できる。パイロットに、誤検出、スタッフ負担、サプライヤーアクセス、実際の決定速度に関する証拠を生成するよう要求できる。次のトランシェはその証拠に依存すべきである。これにより、不確実性を、ベンダーの最も包括的なパッケージを受け入れる理由ではなく、明示的な投資段階に変える。

機会費用はセキュリティ決定に属する。新しい監視レイヤーに使われた100万ユーロは、脆弱なソフトウェアの交換、追加の職務分離、第二の復旧チーム、またはメンバーアイデンティティ検証に使うことはできない。取締役は、主要な提案ごとに、プロセスの変更や実行しない決定を含む少なくとも一つの信頼できる代替案を受け取るべきである。比較には同じ損失シナリオを使用すべきである。制度的な目的を価格設定せずに製品機能を比較するだけでは不十分である。

繰り返し発生する費用には、購入ケースと同じくらい規律のあるベースラインが必要である。ライセンスの増加は、リスクが変わらなくても、従業員数、ログボリューム、データ保持、または保護されたエンドポイント数に従う可能性がある。コンサルティングは、実装知識が移転されないために永続する可能性がある。監査範囲は、一つの保証要件が別のものを正当化するために拡大する可能性がある。理事会は、各プログラムによって生み出される5年間の費用、内部スタッフ要件、出口費用、新しい依存関係を見るべきである。貴重なエンジニアを消費する管理策は、調達総額では手頃に見えても、別の防御を弱める可能性がある。

利益の分配も重要である。メンバーは集合的に支払うが、障害は均等に降りかかるわけではない。大規模事業者は独立した監視と経験豊富なセキュリティスタッフを維持するかもしれない。小規模メンバーはレジストリの通知とアカウント復旧に大きく依存するかもしれない。企業記録が弱い法域のリソース保有者は、アイデンティティ管理からより大きな摩擦に直面するかもしれない。セキュリティ設計は、誰が誤検出、遅延した移管、アカウントロック、文書要求を負うかを検討すべきである。メンバーシップの一部にとって正当な管理を実行不可能にすることによって一つの脅威を減らすことは、無料のリスク削減ではない。

組織は、シナリオから支出までの決定台帳を維持すべきである。サプライヤー別の機密金額を開示する必要はないが、内部的には、元のリスクステートメント、オプション、承認、期待される結果、実装証拠、例外、インシデント、更新決定、終了を示すべきである。独立した挑戦者は、購入後に正当化が変わったかどうかをテストできる。この履歴がなければ、すべての更新は、誰もなぜ選ばれたかを再構築できない場合でも、管理策が今や不可欠であるという主張から始まる。

メンバーの精査は、質問が正しく枠組みされれば、この規律を改善できる。公開協議は、非専門家に製品アーキテクチャを承認するよう求めるべきではない。損失の優先順位が事業者の依存関係を反映しているかどうか、重要な構成員やシナリオが欠落していないかどうか、提案された透明性が十分かどうか、理事会が残余リスクを説明したかどうかを問うべきである。事業者は、内部の企業評価が見逃す可能性のあるルーティングの結果、復旧タイミング、通信障害について観察を提供できる。

最後に、モデルはサンクコストを生き残らなければならない。組織がプラットフォームや認証に投資した後、継続を真剣さの証明として扱う圧力がある。脅威とアーキテクチャは変化する。モデルは、管理策が冗長である、サプライヤーがより大きなリスクになった、または非技術的な変更がより多くの害を減らすことを示すかもしれない。セキュリティ製品を終了することは、証拠がサポートする場合には成熟した決定であり得る。

RIPE NCC の詳細な計画、サービス重要度表、保証コミットメントは、生のガバナンス素材の多くを提供している。ARIN の理事会委員会構造は、明示的な監視ルートを示している。APNIC の公開セキュリティ説明は、レジストリの義務と、事業者、インシデント対応者、または法執行機関に属する機能との間に有用な境界を引いている。次のステップは、そのような素材を独立して挑戦された配分議論に結び付けることである。

セキュリティ支出は、恐怖が一般的で責任が拡散しているときに承認するのが最も簡単である。永続的な公的権限を託されたレジストリは、その反対を要求すべきである:境界のあるシナリオ、名前付きの所有者、保護された証拠、独立した挑戦、理事会の決定。脅威モデルは管理策に取って代わるものではない。組織に、これらの管理策が、この順序で、これらの損失に対して、メンバーの資金に見合う理由を説明させるものである。

出典