2025年3月のサイバーセキュリティのトップニュース

チャーリー・ベデル

コンテンツマーケティングマネージャー

Illumio Editorial

2025年3月28日

23分読む

サイバーセキュリティは急速に進化しており、組織はリアルタイムで適応する必要があります。

ゼロトラスト戦略の改良、新たな労働力の傾向の理解、または組織がレジリエンスを強化するためにどのように協力しているかを確認したい場合でも、最新のアップデートは貴重なポイントを提供します。

今月のニュースでは、トップセキュリティ専門家による次の洞察を特集しています。

シフトレフトの考え方とゼロトラスト戦略による最新のSaaSの保護
連邦サイバーセキュリティの専門家が州政府の役割に異動する理由
ゼロトラストを構築する際に組織が間違っていること
CRNのイルミオエンライトンパートナープログラムの5つ星評価

ゼロトラストが最新のSaaSセキュリティに不可欠な理由

SaaS 開発は猛烈なスピードで進んでおり、セキュリティについていくのは大変なことかもしれません。

IllumioのCTOであるBen Vergheseは、 Forbesの 記事「 SaaS開発におけるセキュリティと迅速なイノベーションのバランスをとる方法」でそれを説明しています。SaaSは急速なイノベーションへの水門を開く一方で、無視できない新たな攻撃対象領域も開きました。

「SaaS 開発者は、ソフトウェアのライフサイクル全体を通じて、セキュリティについてより積極的かつ警戒する必要があります」と Verghese 氏は言います。

迅速に構築する場合は、スマートに確保したほうがよいでしょう。従来のオンプレミス設定では、要塞のようなデータセンターのファイアウォールが王冠の宝石を守っていました。しかし、SaaSでは、リモートアクセス用のドアを開いたままにしておく必要があり、「従来のデータセンターファイアウォールが提供する保護の一部が失われます」とVerghese氏は説明します。

そこでゼロトラストの出番です。ベンはそれをホテルに例えていますが、すべての鍵がすべてのドアを開けるわけではありません。

「清掃スタッフは特定の時間にのみ部屋に入ることができ、メンテナンス担当者は事前の許可が必要であり、ゲストは自分の部屋に無制限に出入りできます」と彼は言います。これは、最新のSaaSに組み込まれる必要がある、きめ細かくコンテキストを意識したアクセス制御です。

しかし、Verghese氏は、オープンソースのソフトウェア開発がこの取り組みを複雑にしていると指摘しています。これは現代の開発の生命線であり、開発者がアプリを簡単かつ迅速に組み立てることができます。その便利さにはリスクが伴います。

「新しいバージョンでは、露出が限られているため、より多くの問題が発生することがよくあります」と Verghese 氏は言います。サードパーティ製モジュールの脆弱性は、多くの場合、すでに稼働するまで顔を出しません。だからこそ、セキュリティは最後に付け加えるだけではダメです。「1つの間違った決定や近道が悪影響を与える可能性があります。」

解決策は何ですか?コードとしてのインフラストラクチャにセキュリティを組み込みます。つまり、何をデプロイするかだけでなく、誰がどのようにアクセスできるかを定義する必要があります。Verghese氏が言うように、「新しいサービスを追加するとき、開発者は『誰がこのサービスに依存しているのか?このサービスは誰に依存しているのか?』と言い、それに応じてセキュリティ仕様を変更してください。」

それは左にシフトすることであり、侵害後にスクランブルするのではなく、初日からゼロトラストをアーキテクチャに組み込むことです。そうすれば、イノベーションに追いつくだけではありません。あなたはそれを確保します。

州と連邦政府の間のサイバー人材綱引きの内部

サイバーセキュリティの人材戦争では手袋が外れています。現在、各州は連邦政府と真っ向から対決している。

ウォール・ストリート・ジャーナルの記事「連邦サイバー労働者をめぐって州が争う」では、アンガス・ローテンがイルミオ・フェデラル・フィールドのCTOであるゲイリー・バーレット氏と、州政府が連邦機関からサイバー専門家を積極的に採用していることについて語っています。

最大の変化の 1 つはリモートワークです。各州は、地理を気にすることなく、経験豊富な連邦サイバーセキュリティ人材を追求できるようになりました。そして、官僚主義に燃え尽き、より迅速に変化する役割に惹かれる連邦安全保障専門家が電話に出ている。

「環状道路以外の仕事を見るのは本当に魅力的になっています」とバーレット氏は言います。「そして州はついに競争できる立場に立ったのです。」

バーレット氏は、州が努力しているものの、誰がより多くのお金を払えるかだけが問題ではないことを明らかにしている。それは影響力と自律性についてです。「人々は変化をもたらしたいと思っており、官僚主義を使わずに州レベルでそれができることに気づいています」とバーレット氏は説明する。

この傾向は、サイバー労働力の構築に何年も費やしてきた連邦政府機関にとって特に懸念されるもので、優秀な人材が退去するのを目の当たりにしてきました。

以前は監察官や連邦CISOとして働いていたバーレット氏は、この痛みを身をもって知っている。同氏は、連邦政府はサイバー人材を引き付け、維持する方法を再考する必要があると警告している。「採用と昇進のシステムを近代化しなければ、より迅速に行動し、よりコントロールできる仕事に人材を奪われ続けるでしょう」と彼は言います。

サイバー人材をめぐる戦いは、もはや連邦政府と民間部門だけの問題ではありません。それは連邦政府対すべての人です。サイバー脅威がより複雑になるにつれて、公共部門の自衛能力は、優秀な人材が飛び降りるのを防ぐことができるかどうかにかかっている可能性があります。

ゼロトラストは考え方であり、技術スタックではありません

ゼロトラストは現在、主流のセキュリティアプローチです。しかし、多くの人はまだそれを間違えています。

Infosecurity Magazine が最近、このトピックについて深く掘り下げた「ゼロトラストの現実チェック: 実装の課題への対処」では、ゼロトラストが製品でも、チェックボックスでも、サイバーセキュリティの特効薬でもないことが明らかになりました。

「ゼロトラスト製品を持っていると主張する企業やベンダーは嘘をついているか、その概念をまったく理解していません」と、ゼロトラストの作成者でありイルミオのチーフエバンジェリストであるジョン・キンダーヴァグ氏は言います。

リモートワークやハイブリッドワークへの移行は、バイデン大統領の大統領令14028 号や EUのNIS2指令などの規制推進力とともに、ゼロトラストへの推進を加速させています。しかし、誤解は残っています。

多くの企業は、自社のソリューションや戦略に「ゼロトラスト」のラベルを付けて、その日を終えています。実際には、これは単なる技術スタックの更新ではなく、考え方の転換です。イルミオのインダストリーソリューションマーケティングディレクターであるトレバー・ディアリング氏は、「ゼロトラストはそれ自体が目的ではありません。これは回復力を高め、ビジネスを維持するための良い方法です。」

ゼロトラストは、無敵ではなく、回復力に関するものです。攻撃者が ID 制御を回避する能力が上手になっているのは避けられません。しかし、ゼロトラストとは、侵害が発生した場合の爆発範囲を制限することです。

「誰かが 1 つのエリアに立ち入ることを許可するというルールを設ける必要があります」とキンダーヴァッグ氏は説明します。「そのルールが整備されていなければ、攻撃がどれほど巧妙であっても問題ではありません。なぜなら、ルールは攻撃の発生を許さないからです。」

ゼロトラストの実装はどのようなものですか?重要なこと、つまり「保護面」から始めましょう。

「一度に 1 つの保護面を行ってください」とキンダーヴァッグ氏は言います。これにより、反復的で無停止で、管理が容易になります。

ゼロトラストに参入できると思っているなら、すでに遅れをとっています。正しい考え方、基本的な制御、そしてセキュリティをインフラストラクチャの生き生きとした部分のように扱う意欲が必要です。あるいは、ディアリングが言うように、ゼロトラストは生き残るのに役立つだけではありません。正しく行えば、ビジネスを繁栄させ続けることができます。