セキュリティ導入体験を開始する

同じような組織は 2 つなく、企業は目標と優先順位、成熟度、文化、リーダーシップサポートに応じて異なる方法でセキュリティを最新化します。

この記事では、ゼロ トラストセキュリティ導入体験を開始するための 3 つの一般的なパターンについて説明します。

• トップダウン - 高度な戦略から始めます。 戦略を詳細な計画に解決し、それらの計画を実現します。
• ビルドアップ - 1 つ以上の優先度の高い領域から始めて、迅速な勝利に集中します。 より多くの領域に展開し、全体的な戦略を構築します。
• シナリオ主導 - 特定のビジネス シナリオから開始し、複数の規範にわたってそのシナリオの一貫性のあるアプローチを推進します。

このガイダンスを使用して、パターンではなく開始点を選択します。 重要な業務を中断させることなく前進を可能にする出発点であることが重要です。

Tip

Microsoftには、Security Adoption Framework (SAF) ワークショップなど、豊富なセキュリティ導入ワークショップが用意されています。 Microsoft の構造化導入モデルのガイダンスは、これらのワークショップで提供される Microsoft Unified のエキスパート主導のガイダンスに沿っています。 SAFワークショップの詳細をご覧ください。

パターンを選択する

開始する前に、次の点に注意してください。

• 導入パターンは相互に排他的ではありません。 1 つのパターンを使用したり、別のパターンに進化したり、時間の経過と同時にブレンドしたりできます。
• ほとんどの組織は時間の経過と同時に複数のパターンを通過し、多くの組織は複数のパターンを同時に使用するブレンドされたアプローチを採用しています。
• たとえば、ビルドアップまたはシナリオ主導のアプローチでは、多くの場合、より包括的な戦略主導の導入に向けて移行するために必要な勢いと洞察が生まれます。

どのようなパターンを選択する場合でも、次のことをお勧めします。

• 最新化する方法を決定します。 ほとんどの組織は、既存のプロセスとテクノロジの更新に重点を置いています。 いくつかの新しいセキュリティ プログラムを最初からビルドします。
• アプローチを調整します。 組織の優先順位、制約、リスク許容度、変化を吸収する能力に合わせます。
• 継続的に調整します。 データを継続的に収集して、何が機能し、何が機能せず、調整が必要かを測定します。
• 通常どおりビジネスをサポートします。 変換中に実行できることを確認します。 ビジネス運用と脅威アクターは、セキュリティの最新化中に一時停止しません。 チームは、アプローチを変革する間、その日の仕事を行う必要があります。

トップダウン

トップダウンは、戦略主導のアプローチであり、エンドツーエンドのビジョンから始まり、組織全体で調整された配信を推進します。 このパターンを使用するには:

1. 導入パスの最初から開始し、ビジネスの優先順位に合わせた明確な戦略を確立します。
2. その戦略をアーキテクチャ、ロードマップ、優先順位付けされた技術イニシアチブに変換します。
3. セキュリティ規範とテクノロジの柱全体で一貫して提供します。

このアプローチは、CISO とセキュリティ リーダーが強力なエグゼクティブ スポンサーシップを持ち、ビジネス チーム、IT チーム、およびセキュリティ チーム全体で調整された変更とアクティブなコラボレーションを推進することの重要性を理解している組織に適しています。

蓄積

ビルドアップは、ターゲットを絞った改善から始まり、時間の経過と共に拡張される増分アプローチです。 このパターンを使用するには:

1. 緊急のリスクや運用上のギャップに対処する影響の大きいクイック 勝利から始めます。 例えば、まずは特定の分野または柱に焦点を当てます。
2. 信頼性とサポートを構築するために、迅速な勝利の測定可能な価値を示します。
3. 別の勝利のために同じ規範内で横方向に拡張するか、より広範な戦略主導のトップダウン アプローチに移行します。

このパターンは、現在、セキュリティモダン化のための完全なエグゼクティブスポンサーシップがない組織に適しています。 技術およびセキュリティのリーダーは、目に見える勝利を使用してリスクを軽減し、より広範な導入のための信頼性を構築できます。

シナリオ駆動型

シナリオ主導の導入では、特定のビジネス イニシアチブをセキュリティで保護することに重点を置き、それを使用して分野間の連携を推進します。 このパターンを使用するには:

1. 優先度の高いビジネス シナリオを特定します。
2. 複数のセキュリティ規範にわたってシナリオをセキュリティで保護します。
3. このシナリオを使用して、依存関係、ギャップ、および将来の最新化のニーズを公開します。

このパターンは、特定のセキュリティ イニシアチブに対する役員のサポートと資金がある場合に適していますが、完全なセキュリティ変革には適していません。 これは、切断されたプログラムとサイロ化された作業を接続し、コラボレーションを改善し、後でまで優先順位の低い最新化を延期するのに役立ちます。

次のステップ

次に何を行うかは、使用しているモデルによって異なります。

• トップダウン: 導入トップダウンに近づいている場合は、まず、構造化されたセキュリティ導入パスについて読んでから、優先順位付けされたビジネス シナリオを確認します
• 発展: 早く成果を上げたいなら、ビジネス シナリオを選び、主要な分野を掘り下げてください。
• シナリオ主導: 特定の領域を最新化するには、 ビジネス シナリオを選択し、必要な規範全体でシナリオを設計してから、実装を開始します。