生成的データ インテリジェンス

サイバーセキュリティ

5 年のクラウド セキュリティの現状に関する 2024 つの厳然たる真実

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

クラウド セキュリティは、クラウド導入の初期の西部開拓時代から確かに大きな進歩を遂げてきましたが、今日のほとんどの組織がクラウド セキュリティの実践を真に成熟させるまでには長い道のりがあるというのが真実です。そして、これにより、セキュリティ インシデントという点で組織に多大な損害が発生しています。

ヴァンソン・ボーンの研究 今年初めの調査では、過去 4.1 年間に組織が被害を受けた侵害のほぼ半数がクラウドから発生したことが明らかになりました。同じ調査では、平均的な組織が昨年クラウド侵害により約 XNUMX 万ドルを失ったことがわかりました。

Dark Reading は最近、ゼロトラスト セキュリティのゴッドファーザーである John Kindervag 氏にインタビューし、今日のクラウド セキュリティの状況について話し合いました。 Kindervag 氏は、Forrester Research のアナリストだったときに、ゼロトラスト セキュリティ モデルの概念化と普及に貢献しました。現在、彼は Illumio のチーフ エバンジェリストであり、その活動の中でも依然としてゼロ トラストの支持者であり、それがクラウド時代のセキュリティを再設計する重要な方法であると説明しています。 Kindervag 氏によると、これを成功させるには、組織は次の厳しい現実に対処する必要があります。

1. クラウドに移行するだけでは安全性は向上しない

クラウドに関する今日の最大の誤解の 1 つは、クラウドが本質的にほとんどのオンプレミス環境よりも安全であるということだとキンダーヴァグ氏は言います。

「クラウドには、どういうわけかより多くのセキュリティがネイティブに組み込まれており、クラウドに行くという行為だけでより安全になるという、クラウドに対する根本的な誤解があります。」と彼は言います。

問題は、ハイパースケール クラウド プロバイダーはインフラストラクチャの保護には優れているものの、顧客のセキュリティ体制に対する管理と責任が非常に限られていることです。

「多くの人はセキュリティをクラウド プロバイダーにアウトソーシングしていると考えています。彼らはリスクを移転していると考えています」と彼は言います。 「サイバーセキュリティでは、リスクを移転することはできません。あなたがそのデータの管理者である場合、誰がデータを保持しているかに関係なく、あなたは常にデータの管理者です。」

これが、キンダーヴォーグがよく繰り返されるフレーズの大ファンではない理由です。責任の共有」と彼は言う、これは分業と努力が50対50であるように聞こえると言う。彼は「」というフレーズを好みます。不均等な握手」という造語は、フォレスター社の元同僚であるジェームス・スタテンによって考案されました。

「それが根本的な問題です。責任の共有モデルがあると人々が考えているのに、その代わりに不平等な握手が存在するということです」と彼は言う。

2. ハイブリッド世界ではネイティブのセキュリティ制御を管理するのが難しい

一方、プロバイダーが過去 10 年間に構築してきた、改良されたネイティブ クラウド セキュリティ制御について話しましょう。多くのプロバイダーは、顧客がワークロード、ID、可視性をより詳細に制御できるよう、良い仕事をしていますが、その品質には一貫性がありません。キンダーヴォーグ氏が言うように、「良いものもあれば、そうでないものもあります。」これらすべてに共通する本当の問題は、単一プロバイダーの環境を分離した場合を超えて、現実世界で管理するのが難しいことです。

「これを行うには多くの人員が必要ですが、その人員はクラウドごとに異なります。過去 5 年間に私が話をしたすべての企業は、マルチクラウド モデルとハイブリッド モデルを導入しており、両方が同時に進行していると思います」と彼は言います。 「ハイブリッドとは、『オンプレミスのものとクラウドを使用しており、複数のクラウドを使用しており、単一のアプリケーションに対して異なるマイクロサービスへのアクセスを提供するために複数のクラウドを使用している可能性があります。』この問題を解決できる唯一の方法は、複数のクラウドすべてにわたって管理できるセキュリティ制御を確立することです。」

これが、ゼロトラストのクラウドへの移行に関する議論を促進する大きな要因の 1 つである、と彼は言います。

「ゼロトラストは、データや資産をどこに置いても機能します。それは雲の中かもしれない。オンプレミスの場合もあります。それはエンドポイントにある可能性があります」と彼は言います。

3. ID はクラウドを救わない

最近はクラウド ID 管理が非常に重視されており、ゼロトラストの ID コンポーネントに不釣り合いな注目が集まっているため、組織にとって ID はクラウドでのゼロトラストのためのバランスの取れた朝食の一部にすぎないことを理解することが重要です。

「ゼロトラストの物語の大部分は、アイデンティティ、アイデンティティ、アイデンティティに関するものです」とキンダーヴォーグ氏は言います。 「アイデンティティは重要ですが、私たちはゼロトラストのポリシーでアイデンティティを消費します。それがすべてではありません。すべての問題が解決されるわけではありません。」

Kindervag が意味するのは、ゼロトラスト モデルでは、資格情報によって、特定のクラウドまたはネットワーク内のあらゆるものへのアクセスがユーザーに自動的に許可されるわけではないということです。このポリシーは、特定の資産にいつ、何をアクセスできるかを正確に制限します。 Kindervag 氏は、ゼロトラスト モデルの策定を開始するずっと前から、ネットワーク、ワークロード、資産、データのセグメンテーションを長年にわたって提唱してきました。同氏の説明によれば、ポリシーによるゼロトラスト アクセスの定義の中心は、物事を「保護面」に分割することです。各保護面にアクセスするさまざまな種類のユーザーのリスク レベルによって、特定の資格情報に適用されるポリシーが定義されるからです。

「それが私の使命です。人々に保護する必要があるものに集中してもらい、PCI クレジット カード データベースを独自の保護面に配置するように、その重要なものをさまざまな保護面に配置することです。 HR データベースは独自の保護面に存在する必要があります。 IoT システムまたは OT システムの HMI は、独自の保護面に配置する必要があります」と彼は言います。 「問題をこれらの小さな一口サイズの塊に分割すると、一度に 1 つの塊を解決し、次々と解決していきます。これにより、はるかにスケーラブルで実行可能になります。」

4. 何を守ろうとしているのかを理解していない企業が多すぎる

組織がクラウド内の保護面をセグメント化する方法を決定する際には、まず保護しようとしているものを明確に定義する必要があります。各資産、システム、プロセスには独自のリスクが伴い、それによってアクセスとその周囲の強化のポリシーが決定されるため、これは非常に重要です。冗談は、数百ペニーを保管するために 1 万ドルの金庫を建てるはずがないということです。これに相当するクラウドは、機密システムから隔離され、機密情報が保管されていないクラウド資産の周囲に大量の保護を設けることになります。

Kindervag 氏は、組織がクラウド内やその先で何を保護しているのかを明確に理解していないことが非常に一般的であると述べています。実際、今日のほとんどの組織は、保護する必要があるものはおろか、クラウド内にあるものやクラウドに接続されているものさえも必ずしも明確に理解していません。例えば、 クラウドセキュリティアライアンスの調査 組織の 23% だけがクラウド環境を完全に可視化していることを示しています。また、今年初めに行われた Illumio の調査では、組織の 46% が組織のクラウド サービスの接続性を完全に把握できていないことが示されています。

「人々は、実際に何を達成しようとしているのか、何を守ろうとしているのかを考えていません」と彼は言います。これは根本的な問題であり、企業がその過程で保護を適切に設定しないまま多額のセキュリティ費用を無駄にする原因になるとキンダーヴォーグ氏は説明する。 「彼らは私のところに来て、『ゼロトラストは機能していません』と言うでしょう。そして私は『それで、何を守ろうとしているのですか?』と尋ねます。」すると彼らは言うでしょう、「それについてはまだ考えていない」、そして私の答えは「そうですね、では、あなたはそれに近づいていません」です。 ゼロトラストのプロセスを開始する。 '」

5. クラウドネイティブ開発のインセンティブは失墜している

DevOps の実践とクラウド ネイティブ開発は、クラウド プラットフォームとツールによって提供される速度、拡張性、柔軟性によって大幅に強化されました。その組み合わせにセキュリティが適切に組み込まれると、良いことが起こる可能性があります。しかし、Kindervag 氏は、ほとんどの開発組織にはそれを実現するための適切な動機が与えられていないと述べています。これは、クラウド インフラストラクチャとその上にあるすべてのアプリケーションがその過程で危険にさらされていることを意味します。

「私は、DevOps アプリ担当者は IT 界の Ricky Bobby であると言いたいのです。彼らはただ速く進みたいだけなのです。最終的に侵害された会社の開発責任者と話し、セキュリティについて何をしているのか尋ねたのを覚えています。すると彼は、『何もない、セキュリティなど気にしない』と言いました」とキンダーヴォーグさんは言う。 「私は尋ねました、『どうしてセキュリティを気にしないことができるのですか?』すると彼は「それについての KPI がないからです」と言います。私の KPI によれば、チーム内で 1 日に 5 回のプッシュを行う必要があり、それを実行しないとボーナスは得られません。」

Kindervag 氏は、これは AppSec だけでなく、クラウドやその先のゼロトラストへの移行における大きな問題の 1 つを示していると述べています。あまりにも多くの組織が、それを実現するための適切なインセンティブ構造を持っていません。実際、多くの組織が、不安定な慣行を助長するような倒錯的なインセンティブを持っています。

これが、彼が企業内にゼロトラスト センター オブ エクセレンスを構築することを提唱している理由です。このセンターには、技術者だけでなく、計画、設計、継続的な意思決定プロセスにおけるビジネス リーダーも含まれます。こうした部門の枠を超えたチームが集まるとき、有力な企業幹部が名乗り出て組織がその方向に進むと宣言すると、「インセンティブ構造がリアルタイムで変化する」のを目の当たりにしたと同氏は言う。

「最も成功したゼロトラストの取り組みは、ビジネスリーダーが関与したものでした」とキンダーバーグ氏は言います。 「私がいた製造会社では、会社のトップリーダーの一人である執行副社長が製造環境のゼロトラスト変革の推進者になりました。阻害剤がなかったため、非常にスムーズに進みました。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.

私たちとチャット

やあ! どんな御用でしょうか?