クラウド トランスフォーメーションは多くの組織に戦略的なメリットをもたらし、オンプレミスのインフラストラクチャーと比較して、利便性やコスト削減、ほぼ永続的な稼働時間などが実現します。同時に、クラウドへの移行によって攻撃対象領域も拡大し、クラウド環境をターゲットとした犯罪行為が増加しています。2023年に入った今、景気後退の可能性に対する懸念やそれに備えるためのコスト削減の需要により、パブリック クラウドへの移行が一層急務となっています。
組織がクラウド環境を正常に保護するには、攻撃者が環境に侵入するために悪用する可能性のある、重大なリスクについて理解する必要があります。クラウドにおける正当なアクティビティーと同様、攻撃者もアプローチを進化させ続けています。そのため、2023年に直面する課題は2022年以前に経験した内容とは異なります。本記事では、私が予想する2023年の主な傾向を紹介します。
マルチクラウド環境は今後もセキュリティ課題を深刻化
マルチクラウドには、ベンダー ロックインの回避をはじめ、信頼性、敏捷性、コスト効率などといった多くのメリットがあります。一方で、特にセキュリティに関して、複雑さが劇的に増すという欠点もあります。パブリック クラウド プロバイダーの主な3つ(AWS、Azure、GCP)から利用できるサービスの数は、現在は750から1,000を超えることが見込まれています。敏捷性とイノベーションに対応するために、情報セキュリティ部門はこれらの新しいサービスが利用可能になり次第、サポートする方法を見つける必要があります。このため、企業は新しいサービスをNIST、CISなどのセキュリティおよびコンプライアンス フレームワークにマッピングする自動化ツールに投資するようになります。
開発者環境のセキュリティ保護が最重要の要素に
アプリケーション展開の継続的な成長とその多様性により、悪意のあるアクターにとっての攻撃対象領域が拡大されています。SolarWinds、Kaseya、Spring4Shellはすでにサイバーセキュリティ インシデントを経験し、Log4jなどのソフトウェアの脆弱性を通してどれほど多くの組織が影響を受けるかについても理解が深まってきています。開発者環境のセキュリティ保護は、2023年に組織にとって最も重要な要素の1つとなります。
DevSecOpsツールの統合の動き
Gartnerによると、クラウド セキュリティ用のDevSecOpsパイプラインを実装している組織においては、「DevSecOpsを10以上の異なる(新旧両方の)セキュリティ ツールと手動でつなぎ合わせており、それぞれの責任とアプリケーション リスクのビューがサイロ化」されてしまっています。情報セキュリティ部門は、非常に多くのツールを管理する際のオーバーヘッドや、クラウド プロバイダーおよびサービス全体で一貫したポリシーを実現する際の課題を認識しています。そのため、CSPM、IaCスキャナー、CWPPなどのポイント製品の使用をやめて、クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)などの、より広範にわたるプラットフォームによる標準化を進めています。
データ保護のための焦点を絞ったアプローチ
マルチクラウド環境全体における機密データの監視および保護は、多くの組織にとって解決すべき課題です。本番環境のワークロードが複数のパブリック クラウド環境間で移動すると、データの追跡やアクセス許可の取得が困難になります。2023年には、組織は新しいツールセットや考え方を採用し、機密データを保護するためのポリシーを検出、分類、適用するためにより尽力する必要があります。その際に、データ保護をすべてのクラウド セキュリティ戦略の中心に据えて、存在感と複雑さが増すサイバー攻撃とデータ侵害を回避していく必要があります。
効率性の重視
現在の経済情勢は、2023年に予算がさらに厳しくなる傾向を示しています。この課題に対処するために、部門をまたいだチームで共通のセキュリティ システムが考慮された、より協調的なアプローチを活用してツール、プロセス、専門知識が統合されていくでしょう。また、効率を高めて複雑さを軽減するべく、ROIへ焦点が当たるようになると見込まれます。基本的に、より少ないリソースでより多くを実践するという方向になると考えられます。
サイバーセキュリティの人材の採用は引き続き課題に
サイバーセキュリティの人材の採用は2023年においても引き続き課題となり、大企業のCISOはチームの効率アップにさらに注力することなるでしょう。最善の方法の1つとしては、チームが最も効果を期待できるアクティビティーに常に集中できるようにすることが挙げられます。リスクベースの優先順位付けによって効率アップが促進され、予想よりも少ない人員の中でも目標を達成できるようになります。
2023年にセキュリティを維持する方法
攻撃および関連インシデントを調査した経験に基づき、セキュリティの責任者は以下の戦術や技術に焦点を当てる必要があります。