2024 年に向けてサイバーセキュリティのリーダーにとって最優先事項は何ですか?

2024 年が始まるにあたり、サイバーセキュリティの状況は、前例のない AI の統合、サイバー脅威の増大、急速に進化する政策環境によって形成され、岐路に立たされています。ビジネスリーダー、CISO、セキュリティチームは、戦略的な先見性と回復力を必要とするセキュリティの課題に取り組んでいます。  

私たちは、イルミオのビジネスリーダーやサイバーセキュリティの専門家に話を聞き、新年を迎えるにあたり、彼らが考えている主な懸念事項、傾向、優先事項を学びました。彼らが共有した内容を聞くために読み続けてください。  

AIは脅威アクターにとって恩恵となるだろう

AI は何年も前から現実のものでしたが、2023 年にようやく主流を打破しました。今年の 11 月は ChatGPT の 1 歳の誕生日でしたが、わずか 1 年で、攻撃プロセスをスピードアップするために脅威アクターによってエキサイティングなイノベーションが利用されています。  

サイバーリーダーは、AI がセキュリティ分野で今後も大きな問題になると予測しています。残念ながら、彼らは、少なくとも近い将来、 AIの恩恵 の多くが攻撃者に与えられると見ています。  

「初期段階では、AIの優位性は攻撃者に渡るでしょう」とイルミオのCEOであるアンドリュー・ルービン氏は述べています。「2024 年には、攻撃者が AI をさらに実験すると予測しています。」  

イルミオのシニアシステムエンジニアであるポール・ダント氏もこれに同意し、AIは2024年に悪意のある攻撃者が標的型攻撃を実行しやすくなるだけだと説明した。同氏は、脅威アクターがAIを使用して、AIが生成した戦術のスピードと効率で単純なセキュリティギャップをターゲットにし続けると見ています。  

イルミオのCFOであるアヌップ・シン氏によると、これは組織にサイバーセキュリティへの取り組みを優先するようさらに大きな圧力をかけることにつながるだろう。「サイバーセキュリティのニーズは今後も爆発的に高まるでしょう。これは主に、AI と ML (機械学習) の継続的な普及に起因しています。企業は日々新しいAIイニシアチブを導入しており、その結果、攻撃はますます巧妙になっています。」

来年は攻撃者にとって AI が有利になるにもかかわらず、業界のリーダーたちは振り子が防御側に有利に戻ることを期待しています。

「長期的には、AI が両方にとって効果的なツールになるか、防御側が AI を使用して自分自身をよりよく防御するための興味深く創造的な方法を見つけるかのどちらかです」とルービン氏は説明しました。

シン氏もこれに同意し、「AI/MLを使用して進歩を進め、アルゴリズムを使用してますます冷酷でダイナミックな攻撃者に対抗する企業により多くのリソースが投入されるだろう」と予測した。

サイバーは引き続き国家の優先事項となる

2023 年に AI が普及する中、バイデン政権の AI に関する新しい大統領令 とロンドンでの AI 安全サミット により、世界の政府が AI の安全性とセキュリティに取り組むことに飛びつきました。  

これらのAIイニシアチブは、 国家サイバーセキュリティ戦略 および 実施計画 や CISAの2023-2025戦略計画など、2023年に採択された他の新しい米国のサイバーセキュリティガイドラインに従ったものです。

サイバーリーダーらは、サイバーセキュリティに対する政府の関与と関心の高まりは、2024年もセキュリティが引き続き国家の優先事項となることの表れと見ている。

ルービン氏は「連邦政府は、重要インフラやその他の重要な業務を効果的に保護することに既得権益を持っており、デジタルの敵対者から米国のインフラを保護する上で、今後もより積極的な姿勢をとっていくだろう」と述べた。

彼らはそれをどのように達成するのでしょうか?ゼロトラスト セキュリティ戦略。イルミオのフェデラルフィールドCTOであるゲイリー・バーレット氏によると、「政府機関はゼロトラスト戦略の導入に真剣に取り組み始めています。」同氏は、2024年にはゼロトラスト資金の増加が見込まれると予想している。

また、連邦政府から出される新しいサイバーセキュリティ義務の大部分は連邦政府機関にのみ影響しますが、業界のリーダーは、新しい法律が民間部門のセキュリティ計画と戦略にも影響を与えると考えています。

「連邦政府の監視が強化され、サイバーセキュリティ規制が強化されれば、新年の組織、企業、経営陣のサイバーセキュリティの優先順位付けや考え方が変わるでしょう」とシン氏は述べた。同氏は、報告と侵害の開示に関する2023年の法律(特に SEC と TSAによる)は、民間部門の組織が2024年にリスク軽減とサイバーレジリエンスのビジネスを必須事項にすべきであるという指標と見なしている。

しかし、組織が新年により良いサイバーセキュリティ慣行を採用する理由は 、コンプライアンス だけではありません。

「2023年は、コンプライアンスベースのセキュリティ戦略にとって棺桶に釘を刺した年だったと思います」と、イルミオのソリューションマーケティング担当シニアディレクター、ラグー・ナンダクマラ氏は述べています。コンプライアンス義務が発効するまで待ってセグメンテーションを実装する組織は、文字通り攻撃者にとって座っているアヒルです。」

自己満足はもはや選択肢ではありません

2024年にはセキュリティを最優先事項にすべきであるというシグナルが組織に増えており、サイバーリーダーは、多くの企業でサイバーセキュリティの考え方に感染する自己満足の病気について声を上げています。実際、Vanson Bourneによる最近の調査では、セキュリティの意思決定者の 25% が、自分の組織が侵害されるとさえ考えていないことが明らかになりました。  

「セキュリティの分野では、人々の動きが依然として遅すぎて、組織を犠牲にしてすべてを過剰に分析しています」とルービン氏は迫った。「私たちは完璧なサイバー成果を調整することに関心が高すぎます。完璧を求める一方で、攻撃者は最先端のセキュリティ対策さえも回避する優れたスキルとテクニックで敵を飛び越えています。2024 年には、リスク軽減において真の進歩を見たいのであれば、組織はより迅速に実行する必要があります。」

脅威の状況が拡大し、悪意のある攻撃者の戦術がより攻撃的になる中、2024 年は組織が サイバー レジリエンス を最優先事項にする転換点となります。そして、この仕事はCISOだけのものではありません。

「現実には、より多くの人々が、盲目的に命令に従うのではなく、 ビジネスリーダーシップに反発し、現実的な期待を設定することをもっと積極的に行う必要があります」と、ゼロトラストの作成者であり、イルミオのチーフエバンジェリストであるジョン・キンダーヴァグ氏は述べています。「CEOと直接連絡を取り、リスクや脅威に関して聞きたいことだけでなく、聞くべきことを伝える洞察力と勇気を備えたセキュリティリーダーが必要です。」

良いニュースは?業界には変化が見られ始めています — イルミオのインダストリーソリューションマーケティングディレクターであるトレバーディアリングは、サイバーセキュリティに関して組織が考え方を変えているのを目の当たりにしています。  

「サイバーセキュリティはもはやデータ保護だけでなく、ビジネスのレジリエンスを向上させることもより広く認識されていると思います」と彼は言いました。「今の課題は、これを計画し、それに基づいて行動することです。」

ゼロトラスト対策の時が来ました

セキュリティリーダーは、サイバーレジリエンスのために ゼロトラスト を採用するよう組織に奨励しています。ゼロトラストは、侵害が避けられないことを前提とし、「決して信頼せず、常に検証する」という考え方に基づいた、世界的に検証された戦略です。サイバーリーダーは、組織に対し、ゼロトラストへの取り組みを開始するか、2024年もより強力なゼロトラストプラクティスの構築を続けるよう促しています。

ゼロトラストの作成者であり「ゴッドファーザー」であるキンダーヴァグ氏は、2024 年には単にゼロトラストについて語る組織の終焉を迎えると信じています。

「来年、ゼロトラストの導入は、概念的な賛同だけでなく、さまざまな理由から、より大きな実装が見られるでしょう。その主な理由は、攻撃の状況がどれほど悪化しているか、そしてそれが経営陣にどのような影響を与えているかです」と彼は言いました。

ゼロトラストセキュリティ戦略は、従来の境界のみの防御では今日の高度な攻撃には十分ではないことを認識し、多層防御モデルを奨励します。ディアリング氏は、ゼロトラストセグメンテーションとも呼ばれるマイクロセグメンテーションを、 ゼロトラスト多層防御戦略の基礎要素として組み込むことを期待しています。  

「多層防御の復活が、マイクロセグメンテーションなどのテクノロジーを使用して、ランサムウェアとの継続的な戦いにおいて最後の防衛線を実際に提供し、多層防御のマイクロ防御にきめ細かく移行することを願っています」と彼は言いました。  

ゼロトラストの構築を始める準備はできていますか?その方法については、 今すぐお問い合わせください。