2023年12月のトップサイバーセキュリティニュース

2024 年が近づく中、組織は、リソースの制約、支出、戦略の改善など、過去 1 年間に直面した課題と、それらを克服する方法をより詳しく検討しています。  

今月のニュースでは、サイバーセキュリティの専門家や思想的リーダーによる洞察が取り上げられ、次のようなトピックについて語られました。

• サイバーセキュリティのスキルギャップの中で、クラウドセキュリティの戦略を調整し、責任を共有する方法
• サイバーレジリエンスがサイバーセキュリティ投資の迅速な成功とROIに結びついている理由
• セキュリティリーダーがクラウドセキュリティのギャップを解決するためにゼロトラストセグメンテーションに目を向ける理由

セキュリティスキルのギャップはクラウドセキュリティに影響を与えていますか?

サイバーセキュリティ業界にとって、人材不足は一時的な傾向ではなく継続的な問題であり、残念ながら、特にクラウドにおける組織のセキュリティに重大な影響を与える可能性があります。イルミオの製品管理担当副社長であるスダ・アイアー氏は、SC Mediaに「 ITスキルのギャップがクラウドセキュリティの妨げにならないようにする」というテーマで寄稿しました。  

Iyer は、クラウド セキュリティに影響を与えているクラウドのいくつかの主要なトレンドについて取り上げています。

• クラウドの導入は急速に進んでおり、組織は重要なシステムの実行と重要なデータの保存をクラウドにますます依存しています。これにより、チームは迅速に拡張するというプレッシャーに直面しているため、クラウドの設定ミスのリスクが高まります。  
• また、クラウド環境の性質は、ワークロードのスピンアップとスピンダウンに伴う急速な変化によって特徴付けられます。

これらの両方により、クラウドのセキュリティリスクが指数関数的に増加しています。実際、最近のVanson Bourneのレポートによると、昨年、すべての侵害の ほぼ半分 がクラウドから発生していました。  

これらの課題をさらに悪化させているのは、ITセキュリティの人員不足です。アイアー氏は、サイバーセキュリティの専門家に 340万人のギャップ があることを示す世界経済フォーラムの報告書を引用しています。この進行中の問題はセキュリティにとって深刻な課題となっていますが、Iyer 氏は組織に対し、クラウド セキュリティの成果が効果のない言い訳として利用しないよう強く求めています。  

「根強いIT人材不足が、組織のクラウドセキュリティへの取り組みの結果を左右するべきではありません」と彼女は言いました。

代わりに、Iyer 氏は、セキュリティ戦略を調整し、組織全体でクラウド セキュリティに対する責任を共有することを推奨しています。

「この新しい脅威の状況では、セキュリティチームはもはや組織のクラウドインフラストラクチャを単独で保護することはできません」と彼女は説明しました。「クラウドセキュリティとレジリエンスの構築は、最初から全員の責任でなければなりません。」

Iyer 氏は、クラウド インフラストラクチャを保護するためのより積極的なアプローチを提唱しており、次のようなすべての潜在的な脆弱性を排除しようとするよりもリスク管理を重視しています。

• 意識を高めるための机上演習の実施や、脆弱性を特定するための侵入テストの定期的な実施など、積極的な対策を実施します。  
• 組織内の全員をセキュリティチームの延長にするために、継続的な従業員教育とトレーニングセッションを義務付けます。

彼女はまた、マイクロセグメンテーションとも呼ばれるゼロ トラストセグメンテーション(ZTS)の重要性を強調しており、これはあらゆる組織のセキュリティ戦略の基礎となるべきです。ZTSでは、データセンターとクラウド環境をより小さな分離されたゾーンに論理的に分割して、攻撃を自動的に封じ込め、脅威の拡散を防ぎ、不正アクセスのリスクを最小限に抑えます。ZTS は、リソースの制約に直面しても、セキュリティ チームに必要な効率性と迅速な勝利を提供します。

「IT人材不足は現状となっているが、適切な戦略と共通の取り組みがあれば、組織はクラウドセキュリティの成果が悪いまま生きていく必要はない」とIyer氏は結論付けた。

迅速なセキュリティROIがサイバーレジリエンスの向上につながる

イルミオのフェデラルフィールドCTOであるゲイリー・バーレット氏は、フェ デラル・ニュース・ネットワークの記事の中で、 サイバーレジリエンス を採用する政府機関は、より賢明なサイバー投資を行うだけでなく、既存の投資のROIを高めるのに役立つ投資を行うにはどうすればよいかという質問を投げかけました。  

この疑問は、国家サイバー局長室の国家サイバー局長代理であるケンバ・ウォルデン氏の「 国家サイバーセキュリティ戦略 の成功は、企業がレジリエンスの構築への投資収益率をどのように得られるかによって部分的に測定される」と述べた言葉から生じた。  

バーレット氏は、基本に立ち返るアプローチを提唱しています。公共部門と民間部門の両方の組織は、基本的なサイバーセキュリティの実践に優れている必要があります。Barletの場合、これは次のとおりです。

• 脆弱性の特定
• 部門横断的な可視性の確保
• 重要な資産の保護  

これらはそれぞれ、より良いサイバーセキュリティ投資の基礎を築くのに役立ち、政府機関が ROIを最大化できるようにします。

Barlet氏はまた、レジリエンスとROIを構築するための重要なセキュリティ戦略としてゼロ トラスト を強調しています:「バイデン政権の2021年5月の国家 サイバーセキュリティ改善に関する大統領令 は、ゼロトラストが新しいサイバーセキュリティ標準であることを明確にしました。」

ゼロトラストは、組織が従来の境界ベースのセキュリティアプローチから脱却し、今日のハイブリッドでハイパーコネクテッドなデジタル環境では侵害が避けられないことを認識することを奨励します。また、セキュリティの大幅な進歩とROIにつながる迅速な成功を達成するのにも役立ちます、とBarlet氏は言います。  

彼は、組織が重要な資産のセグメント化、動的ネットワークルールの実装、ネットワーク通信の可視性の維持など、迅速な成功から始めることを推奨しています。また、ゼロトラストセグメンテーション(ZTS)などの基本的なゼロトラストテクノロジーとともに、 エンドポイント検出と対応(EDR) や拡張検出と対応(XDR)などの既存のテクノロジー投資を活用することをチームに奨励しています。  

「特にFRBにおいて、ゼロトラストがますます標準になるにつれて、サイバーセキュリティ全体の回復力だけでなくROIの向上が期待できます」とBarlet氏は説明しました。  

セキュリティリーダーの93%が、ゼロトラストセグメンテーションはクラウドセキュリティに不可欠であると回答

先月、Vanson Bourne はクラウド セキュリティ インデックス 2023 でクラウド セキュリティの現状に関する新しい調査を発表しました。その調査結果は、クラウド環境の保護に関して組織が直面している課題と欠点を垣間見る憂慮すべきものでした。  

このビデオでレポートの概要を確認する

イルミオの2人のセキュリティ専門家、ゼロトラストの作成者でありイルミオのチーフエバンジェリストである ジョン・キンダーヴァグ氏と、イルミオのソリューションマーケティング担当シニアディレクターであるラグー・ナンダクマラ氏は今月、レポートの調査結果を共有しました。

• オーストラリア人紙:クラウドから頭を抜く、セキュリティ侵害は「避けられない」
• Help Net Security: ゼロトラストセグメンテーションがクラウドの回復力にとって重要な理由
• クラウドアーキテクトポッドキャスト: エピソード 82: 許可ルール内ですべての悪いことが起こる
• iTWire:イルミオがゼロトラストセグメンテーションがクラウドセキュリティの鍵である理由を説明

このレポートによると、9か国の官民機関から調査された1,600人のセキュリティ意思決定者のうち、ほぼ全員(99%)がクラウドベースのサービスを使用しています。ほとんどの組織にとって、これは迅速に拡張するために不可欠なツールであり、従業員、顧客、収益に多くのメリットをもたらします。

しかし、この急速なクラウド導入によりセキュリティのギャップが残っており、調査対象組織における昨年の侵害の47%がクラウドに由来していました。Vanson Bourne氏は、アプリケーションとワークロードの複雑さ、クラウドサービスの多様性と数、組織が必要とする可視性、信頼性、効率性、回復力を提供しない従来のオンプレミスツールの使用など、攻撃者が最も頻繁に悪用している3つのクラウドの弱点を特定しました。

意思決定者は 、クラウドにおけるセキュリティギャップをますます認識しています。63%が、組織のクラウドセキュリティがサイバー攻撃に備えていないと回答しています。これは、ネットワークの可視性が不完全であること、侵害に対する反応時間が遅いこと、セキュリティチームのワークロードが大きいなどの問題に帰着します。  

解決策は?調査対象となったセキュリティリーダーのほぼ全員(93%)が、ゼロトラストセグメンテーション(ZTS)がクラウドセキュリティ戦略にとって重要であると回答し、すべてのリーダーが、組織がZTS導入の恩恵を受ける可能性があると回答しています。  

組織がクラウドにある場合、次に避けられないサイバー攻撃に対する回復力が必要です。サイバーレジリエンスを実現する最善の方法は、「決して信頼せず、常に検証する」という考え方に基づいたゼロトラストセキュリティ戦略を採用することです。   

ゼロトラストセグメンテーション(ZTS)はゼロ トラスト の重要な柱であり、ゼロトラストなしではゼロトラストを実現できません。

従来の防御および検出テクノロジーとは異なり、ZTSはハイブリッド攻撃対象領域全体でマイクロセグメンテーションに一貫したアプローチを提供します。これにより、組織はワークロードの接続を視覚化し、きめ細かなセキュリティポリシーを設定し、クラウド、エンドポイント、オンプレミスのデータセンター全体の攻撃を封じ込めることができます。

Illumio CloudSecureは 、組織がZTSをパブリッククラウド環境に拡張するのに役立ちます。CloudSecureを使用すると、セキュリティチームは次のことができます。

• クラウドワークロードの接続を視覚化する
• プロアクティブなセグメンテーション制御を適用する
• サーバー、仮想マシン、コンテナ、サーバーレスコンピューティングにわたるパブリッククラウド環境内のアプリケーションとワークロードに対する攻撃をプロアクティブに封じ込めます   

ZTSをクラウドに拡張することで、セキュリティチームは、避けられないクラウド攻撃を阻止し、そのソースから封じ込めることができると確信できます。  

このビデオでIllumio CloudSecureの詳細をご覧ください。

Illumio ZTSの無料デモと相談については、今すぐお問い合わせください。