海兵隊に伝えよ。 リーダーシップの原則とネットワーク・セキュリティ
それは金曜日の営業時間外です。 あなたはリモートで働く社員に、次世代ファイアウォールのインストールについて話しているところです。 トラフィックがネットワークを通過しないので、それが修正されるまで、あなたはプロジェクトに立ち往生しています。 サイバーセキュリティの強化という名目で行われる週末の時間外保守作業は、組織が行うプロジェクトの中でも最もストレスが大きく、リスクが高く、士気の低いものになりかねません。 しかし、米国海兵隊(USMC)の予備役が使用している計画手法を適用すれば、リスクとストレスを軽減することができます。 USMC の計画概念は、サイバーセキュリティのプロジェクトに容易に適用でき、成功の確率を高めることができます。 これは、海兵隊員がすべての作戦に使用する基本的なアプローチです。 海兵隊員は、毎年11月10日に行われる海兵隊誕生日の舞踏会から敵の狙撃拠点への襲撃まで、あらゆる計画のためにこれらのステップ(頭文字をとってBAMCISと呼ばれる)を使用してきました。 BAMCISとは、以下の頭文字をとったものである。 計画を始める、偵察の手配をする、偵察をする、計画を完成させる、命令を出す、監督する、の頭文字をとったもので、海兵隊のリーダーシップの中核をなす考え方である。 BAMCIS の目標は、情報を収集し、計画を立て、実行し、任務の成功を確実にすることです1
例として、次世代ファイアウォールのインストールを使用し、これらの部隊を率いるステップを通して、機器がすぐに使える確率をいかに高め、週末全体をトラブルシューティングに費やす確率を下げることができるかを確認します
Step 1: Begin the Planning
任務分析(またはプロジェクトの計画)はここから始まります。 許可が出た日が、計画を開始すべき日です。 並行するインフラがどれくらいの期間必要かを決定します。 ホットカットの移行中にどのようなリソースが必要になるかを特定する。 新しいネットワーク・セキュリティ・インフラが組織のユーザーに与える影響を定量化する。 このステップでは、多くの質問を用意しておく。 計画を開始するために、プロジェクトについていくつかの仮定を立てる必要があります。 リモート・オフィスが米国外にある場合、言語の壁、暗号の輸出制限、税関の問題などにできるだけ早く対処する必要があります。 インフラストラクチャやエンジニアが税関で立ち往生していると、ネットワーク セキュリティ インフラストラクチャの展開を成功させることは困難です!
Step 2: Arrange for Reconnaissance
通常の戦争では、このステップで敵の規模、能力、弱点に関する情報を収集することになるでしょう。 しかし、このステップの本当の答えは、「成功するためには、どのような情報が不足しているのか」という問いです。 電力や冷却などの物理的要件、インフラへのアクセスを制御するセキュリティ・ポリシー、サイトの写真などを入手する必要があります。 組織によっては、必要な説明を受けること自体がプロジェクトになるかもしれませんが、この情報の取得は成功に不可欠です。
また、機器ベンダから必要な情報も考慮します。 次世代ファイアウォールをベンダーから直接調達して自分でインストールするにしても、アウトソーシングのソリューションプロバイダーに頼るにしても、インフラの実際の展開前にこの情報を入手しておくことが成功のために重要です。 次世代ファイアウォールの場合、ここで仕様を分析し、十分なスペース、電力、セキュリティを確保することになります。 サイバーセキュリティのインフラが、下がり天井のある普通の部屋にあり、尾行防止のないドアの奥にあり、鍵のかかったキャビネットの中にないのは、問題の発生を待っています3。偵察の結果、その場所が必要な物理セキュリティ標準に達していないことが分かった場合、作業を進める前にこれを解決する必要があります。 セキュリティインフラストラクチャの影響を受けるチームに接触することは、週末にトラブルシューティングでつらい思いをするのを防ぐために必要な情報のギャップを埋める鍵となります。
ステップ4:計画を完成する
ステップ1では、計画を軌道に乗せるために多くの質問と仮定が立てられました。 今こそ、これらの質問に答え、すべての仮定を検証する時です。 自分のプランに惚れ込んではいけません。 ピアレビューが重要です。 例えば、インストール手順を書くとき、次世代ファイアウォールの接続に関する誤字を見つけるのに5分かかるかもしれません。 その誤字が見つからなければ、トラフィックが流れない原因をトラブルシューティングするのに何時間もかかるかもしれません。 4 一番避けたいのは、セキュリティが低下したり、メンテナンス期間が予想以上に長引いたりして、組織に計り知れない悪影響が及ぶことです。 完成した計画では、デフォルトの管理者アカウントの資格情報の変更、使用していないポートやサービスの無効化、ベンダーの推奨するベストプラクティスを考慮する必要があります。 期限までにソリューションを実装しようとすると、これらが省略されることがよくあるので、計画に必ず含めてください。
ステップ 5: 命令の発行
ほとんどの軍事作戦では、「5 項作戦命令」の発行が行われます。 これは作戦を遂行するために必要な必須情報を明確かつ簡潔にまとめたものです。 5 ネットワーク・セキュリティ・インフラの展開を成功させるためのすべての情報は、作業を行う人々に伝達される必要があります。 これには、書面による指示、電話会議、仮想ホワイトボード、スクリーンキャプチャの利用などが含まれます。 幅広いコミュニケーション・プランがあれば、多くの問題が問題になる前に解決することができます。 最終的な指示を送った後、一日中ミーティングに缶詰になることは誰も望んでいませんが、ネットワーク・セキュリティ・インフラの変更が始まるずっと前に、共通の理解を得るために時間をかけてください。 実際には誰もあなたの電子メールを読んでいないし、会議室であなたのアイデアを聞いていないと仮定して、チームメンバーに計画について質問し、正しい答えで返信するようにしましょう!
ステップ6:監督する
監督がなければ、海兵隊員が、暑い3マイルの砂漠を走る前に十分に水を飲まない、酔って火災警報を鳴らし複数の航空機を泡だらけにするなど誤った判断を下す可能性が高まります6。 一方、適切な監督を行えば、海兵隊員は歴史の流れを変えるような賢明な決断を下すことができる。 ネットワーク・セキュリティーのインフラストラクチャー・プロジェクトも同様である。 監督とは、設定された基準に従って、計画通りに仕事を進めるために不可欠なものである。 米国海兵隊は、監督を部隊の統率における最も重要な要素とみなしています。 監督は、指導者の責任だけではありません。 プロジェクト参加者全員が、文書化の不足、ファイアウォールのトラフィックフィルタリングルールの不十分な実施など、不満足な点があればいつでも、その様子を見ながら発言する責任を負っているのです。 ファイアウォールがどのようにトラフィックをフィルタリングしているかについての洞察を上司が求めた場合、導入後すぐに文書を修正することは簡単です。
チームメンバーがネットワーク セキュリティの変更をリハーサルできればできるほど、その変更が原因で生産が停止する可能性は低くなります。
仮想化およびクラウド技術の増加を考えると、生産にリリースする前に制御環境でネットワーク セキュリティ基盤プロジェクトをリハーサルすることがより簡単になってきています。 歩兵大隊の司令官が、戦いに備えて軍隊に「いかに戦い、いかに訓練するか」という価値観を植え付けるように、組織のリーダーは、ソリューションの本番前に適切なテストとトレーニングに関連する価値観を植え付ける必要があります。 チームメンバーがネットワークセキュリティの変更についてリハーサルを行うことができれば、その変更に起因する生産停止が発生する可能性は低くなります。 新米海兵隊員が、戦場に展開したパトロールのナビゲーションを期待される前に、管理された訓練環境で陸上ナビゲーションの基本を学ぶ必要があることは、ほとんどの人が同意することでしょう。 同様に、サイバーセキュリティ担当者は、ネットワーク セキュリティ インフラストラクチャの構成が、本番のサイバースペースに展開される前に、ラボ環境で組織の Data-in-Motion にどのような影響を与えるかを学ぶ機会を与えられる必要がある
すべての組織はユニークですが、海兵隊から始まったこれらの 6 つの部隊を率いる手順は、他の組織にも適用可能です。 最も民間的な組織であっても、軍から学んだいくつかの教訓を適用することができ、時間外のトラブルシューティングの苦痛を減らすことにつながるかもしれません」
Disclaimer: この記事で述べられている見解は著者のものであり、必ずしも彼らが関係しているいかなる組織の見解も代表していません。 Ghost in the Wires: このような場合、「この人なら大丈夫」「この人なら大丈夫」「この人なら大丈夫」「この人なら大丈夫」「この人なら大丈夫」「この人なら大丈夫」。 リトル、ブラウン&社、2012.
。