ブログ
/
サイバー・レジリエンス

2021 年のサイバーセキュリティ予測

P・J・カーナー
共同創設者兼顧問
January 15, 2021
23 最小読取り

クラウドに関しては、「あまりにも良いこと」というものがあります。

2020 年に組織がリモートワークの改革を急ぐ中、明らかにクラウドに重点が置かれるようになりました。その結果、の採用が加速しました。 クラウドセキュリティ また、クラウド配信のファイアウォール、安全なインターネットゲートウェイなどを備えたSD-WANを使用した、SASEのようなクラウド配信型アプローチもあります。

しかし、2021 年を通じて、組織はある程度の苦痛を感じ始め、クラウドがすべてのビジネス上の問題を解決すると仮定すると、クラウドへのローテーションが過剰になっていることに気付くでしょう。そして、クラウドは多くの問題を解決しますが、万能薬ではありません。クラウドがすべてを解決すると仮定した結果、組織はクラウドではなく、特定の制御や機能を実行すべきエンドポイントを見落としてきました。

今年は、IT、ネットワーキング、セキュリティの各チームが、当初クラウドに注目していたエンドポイントのセキュリティ価値が高まるため、再調整が行われるでしょう。これらのチームが、オフィスにいる人を監視するオンプレミスのセキュリティ統制で以前行っていたものを手に入れるには、エンドポイントで行っていることを強化せざるを得なくなります。

たとえば、ローカルネットワークレベルの可視性などの機能を、ホームネットワーク上のトラフィックにクラウドで提供するにはどうすればよいでしょうか。SASE のクラウド配信機能では、エンドポイントからのインバウンドトラフィックとアウトバウンドトラフィックは確認できますが、ローカルホームネットワークのトラフィックがデバイス間を移動して仕事用のラップトップにヒットすることはわかりません。これには脅威が潜んでいる部分があり、これに対処する機能は、エンドポイントのコンテキストをすべて把握したうえで、エンドポイント側で対処する方が適切です。

まとめると、2021年には、データセンター、クラウド、エンドポイントの制御のバランスが改善されるでしょう。

コードとしてのインフラストラクチャが次の大きな原因となるでしょう。

コードとしてのインフラストラクチャ (IaC) は、次の大見出しとなる侵害につながるのでしょうか?

IaCには大きなメリットがあり、生産性の向上を通じてイノベーションを促進することで、ビジネスのやり方を加速させています。IaC は DevOps の理念を真に体現する手法です。

とはいえ、これまでのところ、IaCのセキュリティ面は、完全に見過ごされているとは言わないまでも、欠けていました。「セキュリティを左に移す」という話は耳にしますが、現実的には、真のDevSecOpsモデルは優先されておらず、多くの人がこの戦略を採用している一方で、それを完全に実現するために組織を変える方法を実際に知っている人はほとんどいません。

これにより、イノベーションと生産性のためにIaCを追求している組織は、思っているよりも多くのサイバーリスクにさらされ、ひいては大規模な攻撃につながる可能性があります。現実に向き合ってみましょう。IaC は大きな影響を与える可能性があるため、その背後にある自動化の力を考えると、コードのバグ (この場合は IaC 構成ファイル) にバグが発生し、大きな影響を与えることもあります。

これらの未確認のバグや微妙なバグは、複数の開発者や運用チームによって組み立てられたときに発生することがよくあります。そのパズルのピースを構築している CI/CD パイプラインが、悪用可能な設定ミスや脆弱性を含むインフラストラクチャを作成する可能性があります。これらの問題は、誰も見ていない隙間、欠けている部分、または一部が他の部分とうまく合わないという形で現れます。IaC の個々の部品はセキュリティテストに合格する場合がありますが、それらすべての部品を組み立てた場合は合格しない場合があります。当然のことながら、その影響は甚大です。

2021年には、IaCの問題がセキュリティインシデントに悪用されることになるため、セキュリティ業界はIaCのより良い保護方法を厳しく検討せざるを得なくなります。これは真の左翼へのシフトを意味する。セキュリティチームにもっとCI/CDの重点を置くことを要求することと、セキュリティ上の考慮事項がCI/CDパイプラインの真の部分になると主張することの両方だ。また、開発者が設定上の問題をコードで直接確認して修正できるツールにも注目が集まるでしょう。

セキュリティ業界は遅れをとっています。インフラストラクチャは数分で開発できるようになったため、脆弱性を発見したり、設定ミスを防いだりする時間がない場合がほとんどです。攻撃者は常に待ち構えているため、組織は 2021 年の IaC セキュリティに遅れずについていき、問題を回避するためにより安全な構成を作成する必要があります。

関連トピック

アイテムが見つかりません。

関連記事

NIS2 の準備方法:知っておくべきこと
サイバー・レジリエンス

NIS2 の準備方法:知っておくべきこと

サイバーレジリエンスに関する NIS2 の義務を遵守するための準備を始めるために必要な情報を入手してください。

もっと読む
2024年2月のお気に入りのゼロトラストストーリー
サイバー・レジリエンス

2024年2月のお気に入りのゼロトラストストーリー

ゼロトラストイニシアチブの進捗状況に関するデータポイント、Q&A、ストーリーの中で、今月最も参考になったものをいくつかご紹介します。

もっと読む
サイバー・レジリエンスの構築?MITRE ATT&CK フレームワークを目標として活用しましょう
サイバー・レジリエンス

サイバー・レジリエンスの構築?MITRE ATT&CK フレームワークを目標として活用しましょう

ブルーチームの専門家であるニック・カーステンセンが、MITRE ATT&CKフレームワークが組織のサイバーレジリエンスの構築にどのように役立つかについて学びましょう。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく