クラウドトランスフォーメーションは多くの組織に戦略的なメリットをもたらし、オンプレミスのインフラストラクチャーと比較して、利便性やコスト削減、ほぼ永続的な稼働時間などが実現します。同時に、クラウドへの移行によって攻撃対象領域も拡大し、クラウド環境をターゲットとした犯罪行為が増加しています。2023年に入った今、景気後退の可能性に対する懸念やそれに備えるためのコスト削減の需要により、パブリッククラウドへの移行が一層急務となっています。

組織がクラウド環境を正常に保護するには、攻撃者が環境に侵入するために悪用する可能性のある、重大なリスクについて理解する必要があります。クラウドにおける正当なアクティビティーと同様、攻撃者もアプローチを進化させ続けています。そのため、2023年に直面する課題は2022年以前に経験した内容とは異なります。本記事では、私が予想する2023年の主な傾向を紹介します。

マルチクラウド環境は今後もセキュリティ課題を深刻化

マルチクラウドには、ベンダーロックインの回避をはじめ、信頼性、敏捷性、コスト効率などといった多くのメリットがあります。一方で、特にセキュリティに関して、複雑さが劇的に増すという欠点もあります。パブリッククラウドプロバイダーの主な3つ(AWS、Azure、GCP)から利用できるサービスの数は、現在は750から1,000を超えることが見込まれています。敏捷性とイノベーションに対応するために、情報セキュリティ部門はこれらの新しいサービスが利用可能になり次第、サポートする方法を見つける必要があります。このため、企業は新しいサービスをNIST、CISなどのセキュリティおよびコンプライアンスフレームワークにマッピングする自動化ツールに投資するようになります。

開発者環境のセキュリティ保護が最重要の要素に

アプリケーション展開の継続的な成長とその多様性により、悪意のあるアクターにとっての攻撃対象領域が拡大されています。SolarWinds、Kaseya、Spring4Shellはすでにサイバーセキュリティインシデントを経験し、Log4jなどのソフトウェアの脆弱性を通してどれほど多くの組織が影響を受けるかについても理解が深まってきています。開発者環境のセキュリティ保護は、2023年に組織にとって最も重要な要素の1つとなります。

DevSecOpsツールの統合の動き

Gartnerによると、クラウドセキュリティ用のDevSecOpsパイプラインを実装している組織においては、「DevSecOpsを10以上の異なる(新旧両方の)セキュリティツールと手動でつなぎ合わせており、それぞれの責任とアプリケーションリスクのビューがサイロ化」されてしまっています。情報セキュリティ部門は、非常に多くのツールを管理する際のオーバーヘッドや、クラウドプロバイダーおよびサービス全体で一貫したポリシーを実現する際の課題を認識しています。そのため、CSPM、IaCスキャナー、CWPPなどのポイント製品の使用をやめて、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)などの、より広範にわたるプラットフォームによる標準化を進めています。

データ保護のための焦点を絞ったアプローチ

マルチクラウド環境全体における機密データの監視および保護は、多くの組織にとって解決すべき課題です。本番環境のワークロードが複数のパブリッククラウド環境間で移動すると、データの追跡やアクセス許可の取得が困難になります。2023年には、組織は新しいツールセットや考え方を採用し、機密データを保護するためのポリシーを検出、分類、適用するためにより尽力する必要があります。その際に、データ保護をすべてのクラウドセキュリティ戦略の中心に据えて、存在感と複雑さが増すサイバー攻撃とデータ侵害を回避していく必要があります。

効率性の重視

現在の経済情勢は、2023年に予算がさらに厳しくなる傾向を示しています。この課題に対処するために、部門をまたいだチームで共通のセキュリティシステムが考慮された、より協調的なアプローチを活用してツール、プロセス、専門知識が統合されていくでしょう。また、効率を高めて複雑さを軽減するべく、ROIへ焦点が当たるようになると見込まれます。基本的に、より少ないリソースでより多くを実践するという方向になると考えられます。

サイバーセキュリティの人材の採用は引き続き課題に

サイバーセキュリティの人材の採用は2023年においても引き続き課題となり、大企業のCISOはチームの効率アップにさらに注力することなるでしょう。最善の方法の1つとしては、チームが最も効果を期待できるアクティビティーに常に集中できるようにすることが挙げられます。リスクベースの優先順位付けによって効率アップが促進され、予想よりも少ない人員の中でも目標を達成できるようになります。

2023年にセキュリティを維持する方法

攻撃および関連インシデントを調査した経験に基づき、セキュリティの責任者は以下の戦術や技術に焦点を当てる必要があります。

クラウドセキュリティのアプローチと戦略：大規模なクラウドネイティブの展開が普及しているなか、より新しく俊敏で、統合が進んだサイバーセキュリティアプローチの採用は不可欠です。
適切なツールの選択：セキュリティレイヤーと脅威インテリジェンスに代わり、適切なソリューションおよび専門知識レベルを備えた堅牢なセキュリティへと移行していきます。
可視性の優先順位付け：クラウド内の脅威、リスク、脆弱性を網羅する、複雑なクラウド環境のインサイトと制御を取得します。
データセキュリティへの注力：戦略的で統合されたデータ保護とDLPアプローチにより、大規模かつ分散した環境においてデータを保護します。
脅威インテリジェンス、高度な相関、機械学習の技術：高度な技術を組み合わせながら、悪意のある攻撃者に対して先手を打ちつつリスクをプロアクティブに軽減します。
継続的なコンプライアンス基準の自動化および維持。
チームのコラボレーション：組織全体にわたる自動化により、セキュリティ責任の分散と委託を行います。

さらなる詳細

2023年にクラウドで組織を保護する方法について詳しく知りたい場合は、こちらをご覧ください。Zscalerのソリューションをご紹介します。

本記事は、2023年に組織の主要な領域にどのような変化が起こるかについて予想するシリーズの一部です。次回の記事では、2023年のエンタープライズセキュリティに関する予測を取り上げます。

将来の見通しに関する記述

本記事には、当社経営陣の考えや想定、現時点で同経営陣が入手可能な情報に基づいた、将来の見通しに関する記述が含まれています。「考える」、「しうる」、「するだろう」、「潜在的に」、「推定する」、「継続する」、「予想する」、「意図する」、「可能性がある」、「するとみられる」、「予測する」、「計画する」、「期待する」という文言、および将来の出来事や結果の不確実性を伝える同様の表現は、将来の見通しに関する記述である旨を意味することを目的としています。このような将来の見通しに関する記述には、2023暦年のサイバーセキュリティ業界の状態に関する予測、およびこのマーケットにおける機会を活用するうえでの当社の能力に関する記述が含まれますが、これらに限定されません。これらの将来の見通しに関する記述は、1995年米国私募証券訴訟改革法のセーフハーバー条項の対象となります。またこれらの将来の見通しに関する記述は、多くのリスク、不確実性、想定に左右され、多数の要因により、本ブログの作成時点でZscalerが把握していないセキュリティリスクや開発、および2023暦年のサイバーセキュリティ業界に関する当社の予測の基礎となる想定を含むもののこれらに限定されない実際の結果が、本ブログの記述と大きく異なる可能性があります。

Zscalerの事業に特有のリスクと不確実性は、2022年12月7日に米国証券取引委員会(「SEC」)に提出されたフォーム10-Qの最新の四半期報告書に記載されています。本報告書は当社のWebサイトir.zscaler.comまたはSECのWebサイト(www.sec.gov)で確認できます。本記事の将来の見通しに関する記述は、現時点でZscalerが入手可能な限られた情報に基づいており、これらの情報は今後変更される可能性があります。Zscalerは、法律で義務付けられている場合を除き、将来新しい情報が利用可能になった場合においても、このブログに記載されている将来の見通しに関する記述を更新することを保証しません。