2023年のゼロトラストに関する予測

2022年は、サイバーセキュリティ業界に携わるすべての人にとって最も大変な年でした。年間を通じ、ランサムウェア攻撃は世界最大の脅威の一つとして存在し続けていたためです。国家支援型のサイバー攻撃からテクノロジー(Twitter)、医療(Medibank)、通信(Optus)といった企業での大規模なデータ侵害まで、2022年には悪意のある人物がネットワークに侵入し、サーバーを侵害し、ネットワークを水平移動して高価値のデータを見つけて窃取するあらゆる種類のハッキングが発生しました。

サイバー脅威の数が増え続けるにつれて、脅威を用いる攻撃者は人工知能(AI)と機械学習(ML)の高度な学習機能を使用し、攻撃はますます高度になっています。AIを悪用した脅威により、IT、セキュリティ、リスク、コンプライアンスのサイバー防御を強化する取り組みはより困難になっています。このような脅威の拡大により、企業や政府機関はポイント セキュリティ ソリューションから脱却し、ゼロトラスト アーキテクチャーなどの変革的なセキュリティの枠組みを採用することで、ビジネス プロセス、アプリケーション、サービスを完全に統合してサイバー攻撃に対する包括的なセキュリティを実現することが求められています。

このブログでは、2023年のゼロトラストに関する10の予想を紹介します。

1. 複雑なサプライ チェーンのセキュリティ リスクの影響が継続して発生

高度に接続された現在の世界経済では、組織は日常業務の遂行に必要な物理的な製品およびデジタル製品のコンポーネントについて、自らのサプライ チェーンに大きく依存するようになっています。さらに、地政学的リスク関連のサプライ チェーンの新たな課題により、ハードウェア不足、コストの増加、ライセンスの変更、およびキャパシティーの制限が生じています。 

このような問題の影響を軽減するには、セキュリティに対する総合的アプローチを採用する必要があります。これには、特定の時点でのサードパーティーの評価から離れ、インバウンドのパッケージ ソフトウェアやファームウェア コンポーネントにおけるサードパーティーのリスクと脆弱性のリアルタイム監視に移行することが含まれます。また、より強力なアイデンティティーとアクセス管理(IAM)機能を展開し、ゼロトラスト アーキテクチャーの採用を加速することで、パートナーと従業員によるシステムやデータへの正規アクセスをより適切に施行し、侵害されたサードパーティーとのトランザクションによる影響を軽減する必要があります。

2. ゼロトラストは取締役会の議題に

リスク エクスポージャー(企業の評判、収益、成長)がサイバーセキュリティの最大の問題であることから、2023年には取締役会がサイバーセキュリティを最優先事項にすることが予想されます。取締役会はサイバーリスクへの備えについてより粘り強く、意識的に取り組むようになるでしょう。サイバーリスクに関して四半期または年に1回情報を共有するような体制であったとしても、企業と経営陣の活動の全分野にわたって定期的に検討するようになると見られます。取締役会は企業の備えに関するより深いレベルの知見を要求し、サイバー攻撃に対するサイバー保険の賠償責任範囲を絶えず評価することになります。

3. ゼロトラストの責任者の役職が出現

クラウドへの移行が進むにつれて、組織はセキュア デジタル トランスフォーメーションを推進するためにゼロトラストの採用を進めており、セキュア アクセス サービス エッジ(SASE)が好ましいアプローチとして注目されています。しかし、多くの組織では、ネットワークとセキュリティの責任が組織内のさまざまな分野に分散しています。そして多くの場合、これらの部門が各領域のさまざまなベンダーに依存しているという課題があります。ゼロトラストを実装するには、セキュリティ部門とネットワーク部門の間のサイロを解消し、ビジネス上の望ましい成果に合わせて適切なツール、製品、ベンダーを選択することが不可欠です。ゼロトラストの実装を求める圧力が高まるにつれ、ゼロトラストの責任者の役職が現れる可能性が高まっています。この役を担う人物は、ゼロトラストへの道のりにおいて組織を率いる責任を負うことになり、ネットワーク部門とセキュリティ部門をまとめ、ゼロトラストを実装するという共通の目標を実現することが求められます。

4. ハイブリッド ワークに向けて一貫したZTNAが普及

最近の調査によれば、従業員の3分の1近くがフルタイムのリモート勤務を予定しており、別の27%は少なくとも一部はリモートで働くことになるだろうと想定しています。ハイブリッド ワークがより一般的になるにつれて、ゼロトラスト ネットワーク アクセス(ZTNA)ソリューションへの関心も高まると予想されています。境界に縛られないテクノロジーにより、コモディティ化の進んだインターネットのみでユーザーがオフィス、自宅、空港、ホテルなどからすべてのものにセキュアに接続できるモデルへの移行が加速すると見られます。これを達成するために、リモート ワーカー、オンプレミスおよび支店の両方を保護するために、一貫したZTNAの採用がより検討されていくでしょう。これにより、すべてのユーザーへの一貫したポリシーが確保されるだけでなく、組織のコストが削減され、ゼロトラストを活用して場所を問わず働ける体制が実現します。

5. サイバー人材の不足が続き、組織内に最新のセキュリティ慣行を幅広く採用することが引き続き困難に

景気低迷がもたらす主な課題の一つは、 サイバー スキル ギャップが悪化することです。経済の不確実性が2023年も増すことにより、多くの組織が新規雇用を中断するだけでなく、既存の従業員を削減することもあるでしょう。セキュリティの監視と分析ツール(多くがオープン ソース)への投資が増えると予測されますが、これらのツールを最大限に活用するためには、その構成や用途についての専門知識を持つスタッフにも投資する必要があります。そのため、サイバー人材の不足により、当面の間新しいセキュリティ慣行を採用する上で大きな課題が生まれると予想されます。

6. セキュリティ サービスのオーケストレーション フレームワーク(または同様のもの)の採用が増加

オンプレミスであろうとクラウドであろうと、エンタープライズITにセキュリティ制御をオーバーレイすることが困難であると感じる企業が増えています。製品がどのようなセキュリティ機能を持ち、それが特定の環境やサービスへ適用可能かどうかを把握することがより困難になっているのです。単一の機能やカバレッジを提供するニッチなウィジェットから、より広範なセキュリティ プラットフォームまで、互換性がなく、サイロで運用され、管理に多くの専門リソースを必要とする統合されていないセキュリティ ツールで溢れかえっています。これにより、多くの場合にセキュリティ ギャップ、一貫性のないセキュリティ ポリシー、サイバー攻撃に対する脆弱性が増加します。 

結果として、組織内の広範なツールからのシグナルを集約および合成する新しいセキュリティ サービス フレームワークやアーキテクチャーの採用を検討することになります。これは、攻撃が発生した場合に備えて、最大限の情報に基づいたポリシーに関する決定を下せるようスマートなコンテキストを開発することを目的としています。これには、エンドポイント保護ソリューションのデバイス ポスチャー、SIEMツール、脅威インテリジェンス フィードなどの統合により、セキュリティ エンジンを継続的に強化し、リスク分析やポリシー施行を行うことも含まれます。

7. DevSecOpsがビジネスに不可欠に

APIの種類やアプリケーションの導入が増え続けるのに伴い、悪意のある攻撃者にとっての攻撃対象領域が拡大しています。組織は、俊敏性に影響を及ぼすことなく自社を効果的に保護するために、シフトレフト式セキュリティの採用を加速させ、DevSecOps手法の使用でアプリケーション配信プロセスへと自動化するようになります。シフトレフトではセキュリティをCI/CDパイプラインに移行させ、アプリケーション開発に統合します。この方法により、脆弱性やその他のセキュリティの弱点が本番環境に導入される可能性が最小限に抑えられます。最新の展開環境をサポートするAPI脅威検出、CNAPPなどのツールは、標準化とより深く階層化された防御を実現し、セキュリティを大幅に向上させます。 

8. データを中心としたセキュリティとプライバシーは、ブランドと顧客の信頼の構築に不可欠に 

組織の顧客エンゲージメントの72%近くがデジタル化されています。その結果、自らのデータに対する制御と組織のポリシーに関する透明性の強化を求める期待が顧客の間で高まっています。ただし、このデータを追跡し続けることは多くの組織にとって最優先課題ではなかったため、データはほとんど可視化されていません。そのため、多方面における信頼を勝ち取り、顧客体験とブランド認知を強化するための従来の方法を支えるメカニズムとしてデータのプライバシー、セキュリティ、コンプライアンスを重視することは、企業の喫緊の課題となっています。 

9. 自動対応はサイバー脅威への回復力の高いビジネスの中核に 

サイバー脅威の進化と同じペースで、組織に対するサイバー攻撃や、巨額の身代金請求も続くことでしょう。この増加に伴い、組織は状況認識、脅威ベースのセキュリティ監視、インシデント対応、危機管理慣行に引き続き多額の投資を行うことになるでしょう。ただし、ほとんどの組織はまだ人に過度に依存しているため、検出と対応が遅くなります。サイバーセキュリティの専門家がさらに不足していく中、侵害が成功した場合に受ける打撃はこれらの新しいテクノロジーを採用するリスクをはるかに上回るため、組織は完全自動化対応テクノロジーを優先することになります。これにより、従業員はより重要なセキュリティ プロジェクトに集中できるようになり、サイバー脅威に対する回復力が向上します。

10. 製造およびその他の環境における運用技術(OT)への脅威が増大

製造やその他の環境における運用技術(OT)に対するサイバーセキュリティの脅威は、2023年に大幅に増加することでしょう。サイバー攻撃者は運用技術(OT)環境を武器にして、産業プロセスを制御し、OTネットワークをセキュアに保護するハードウェアとソフトウェアを攻撃します。熟練した労働力の不足とIT/OT環境の重複により、サイバー インシデントの封じ込めは困難になるでしょう。組織はサイバー脅威の特定、検出、防止対策を実装して、OTセキュリティ リスクに対処する必要に迫られると見られます。具体的には、デバイスの可視性の向上、OTネットワークのセグメンテーションの実装、OTネットワークとITネットワークからのセキュリティ情報の緊密な紐付け、およびこれらの両方の環境に対処するセキュリティ対応プロセスの確立などの措置を講じることです。

さらなる詳細

2023年に最適化されたゼロトラストを採用する方法について詳しく知りたい場合は、こちらをご覧ください。Zscalerのソリューションをご紹介します。

本記事は、2023年に組織の主要な領域にどのような変化が起こるかについて予想するシリーズの一部です。次回の記事では、2023年のクラウド セキュリティに関する予測を取り上げます。


 

将来予想に関する記述

本記事には、当社経営陣の考えや想定、現時点で同経営陣が入手可能な情報に基づいた、将来の見通しに関する記述が含まれています。「考える」、「しうる」、「するだろう」、「潜在的に」、「推定する」、「継続する」、「予想する」、「意図する」、「可能性がある」、「するとみられる」、「予測する」、「計画する」、「期待する」という文言、および将来の出来事や結果の不確実性を伝える同様の表現は、将来の見通しに関する記述である旨を意味することを目的としています。このような将来の見通しに関する記述には、2023暦年のサイバーセキュリティ業界の状態に関する予測、およびこのマーケットにおける機会を活用するうえでの当社の能力に関する記述が含まれますが、これらに限定されません。これらの将来の見通しに関する記述は、1995年米国私募証券訴訟改革法のセーフ ハーバー条項の対象となります。またこれらの将来の見通しに関する記述は、多くのリスク、不確実性、想定に左右され、多数の要因により、本ブログの作成時点でZscalerが把握していないセキュリティ リスクや開発、および2023暦年のサイバーセキュリティ業界に関する当社の予測の基礎となる想定を含むもののこれらに限定されない実際の結果が、本ブログの記述と大きく異なる可能性があります。

Zscalerの事業に特有のリスクと不確実性は、2022年12月7日に米国証券取引委員会(「SEC」)に提出されたフォーム10-Qの最新の四半期報告書に記載されています。同報告書は当社のWebサイトir.zscaler.com またはSECのWebサイト（www.sec.gov）から取得できます。本リリースに含まれる将来の見通しに関する記述は、現時点でZscalerが入手可能な限られた情報に基づいており、今後変更される可能性があります。Zscalerは、法律で義務付けられている場合を除き、将来的に新しい情報が利用可能になった場合においても、このブログに記載されている将来の見通しに関する記述を更新することは保証するものではありません。