組織が成長するにつれて複雑性と変化を経験することが、10年前と同じようなサイバーセキュリティリスクが発生している理由の一つだと、Rapid7のCISOであるジャヤ・バルーは述べています。しかし、量子コンピューティングは、私たちが先手を打つことができる新たなリスクの一つです。
バルー氏は、2023年オーストラリアサイバーカンファレンスで情報セキュリティの倫理について講演し、オーストラリア市場は、過去1年間に何百万人ものオーストラリア人に影響を与えた数々の注目を集めたデータ侵害により、サイバーリスクに対して真に目覚めたと述べた。
バルー氏はTechRepublicに対し、資産と脆弱性のプロアクティブなマッピング、組織の成長期における一貫性、量子コンピューティングなどのリスクに対する事前の計画が、オーストラリアのセキュリティ専門家が「ハムスターの車輪」のような状況から抜け出すのに役立つと語った。
ジャンプ
- 組織は資産と脆弱性を理解していない
- マルチクラウドの拡大によりデータセキュリティリスクが悪化
- 量子コンピューティングのリスクは業界の積極性の試金石
組織は資産と脆弱性を十分に理解していない
バルー氏は、過去10年間、同様のリスクについて組織と話し合ってきたにもかかわらず、保有資産とその資産に存在する脆弱性に対する理解不足が原因でサイバーセキュリティインシデントの被害者になったことに、多くの組織が「いまだに驚いている」と述べた。
「企業にとって極めて重要なことですが、私たちはまだ自社のフットプリントを完全に把握できていません。APIが露出していたり、認証情報が公開されている場合、あるいはAI学習モデルのためにデータセットが集約され、それが誰にでも公開されていたりすると、驚かされます」とバルー氏は述べた。「効果的な対策を講じるだけでは不十分です。」
「私たちは自分自身のことを知るべきですが、まだ理解できていません。例えば、ネットワークやシステムを理解しておらず、社内製品にはテスト環境と同じ標準を適用していません。そうすべきなのに、そうしていないのです。」
参照:サイバーセキュリティ ソリューションを評価するための決定版ガイド。
バルー氏は、古い脆弱性が新しい技術スタック内の新製品にも忍び込んできていると述べた。その理由は、業界として「設計段階からのセキュリティ対策が十分に行われていなかった」ためだという。
ビジネスの成長によりサイバーリスク管理が困難に
問題の一部は、企業の成長過程における規律の欠如にあります。バルー氏によると、この規律の欠如が、企業や各部門が新しいサービスを追加したり、廃止したりする際の変更内容を必ずしも文書化したり、徹底したプロセスを踏んだりせずに、結果的に生じているという。
これは、企業が買収によって成長したり、より大きな組織の一部になったりした場合によく発生し、外部資産と内部資産の合計に関する文書が不足することになります。
「私たちはそれをうまくやれていません。こうした変化を一貫して実行できていないのです」とバルー氏は語った。
参照: TechRepublic Premium の変更管理ポリシーを活用してください。
バルー氏は、サードパーティのリスクスコアという形で行われる攻撃対象領域の管理自動化も、企業に属するものの推定において必ずしも正確ではないと述べた。
「私たちは不完全な第三者の外部視点と内部視点を持っていますが、それが最も重要なのです」とバルー氏は語った。
マルチクラウドの拡大によりデータセキュリティリスクが悪化
クラウドコンピューティングの普及により、組織が資産や脆弱性を見失うリスクが高まっています。バルー氏は、クラウド資産の容易な立ち上げと、多くの場合停止されないこと、そしてログ記録、ID、監視のためのサービスがそれぞれ微妙に異なることが、全体的な複雑さを増大させていると述べています。
「例えば、アイデンティティは(クラウド環境によって)設定が異なりますが、これは私たちが行う他のすべての作業の前提条件です」とバルー氏は述べた。「最初からこれを正しく行い、クラウドスタック全体で調和させなければ、簡単にすべてを台無しにしてしまう可能性があります。」
クラウドを調和させて複雑さを軽減
組織はクラウドに何を、そしてなぜ入れるのかを自問自答すべきだとバルー氏は述べた。たとえクラウドネイティブ機能の一部を使用しているとしても、古いアプリケーションを「どこか別の場所に放り込む」だけの純粋な「リフトアンドシフト」運用は避けるべきだとバルー氏は指摘する。
「マルチクラウド環境では、利用している様々なクラウド環境をどのように調和させるかを考える必要があります」とバルー氏は述べた。「まず、様々なプラットフォームで何が必要で、どのように設定されているかというベースラインを定め、それを集中型またはネイティブの監視に反映させる必要があります。これを非常に複雑にすることなく実現する方法を見つける必要があります。」
参照:マルチクラウドについて知っておくべきことはすべてここにあります。
データがクラウド間で共有される場合、IT 部門はそのフローがどのようなものかを把握する必要がある、と Baloo 氏は言います。
「そこにも障害点が生じる可能性があります」とバルーは言った。「位相幾何学的な観点から見ると、それは一体何なのでしょうか?」
量子コンピューティングのリスクは業界の積極性の試金石
量子コンピューティングは、IT部門が積極的に取り組むことで競争優位に立つことができる分野の一つです。最初の量子コンピュータの登場までには5年から10年かかると予想されるため、量子コンピュータによる防御のために既存の暗号化アルゴリズムが不要になる前に、それらを置き換えるための投資を行う時間はまだあります。
参照:オーストラリアはサイバー攻撃に対抗するため「侵害想定」アプローチを検討している。
バルー氏は、行動を促すべき問題は、どのようなデータを、そしてどのくらいの期間保護したいのか、と述べた。オーストラリアの組織が患者の生涯、あるいは世代を超えて医療データを保護したい場合、量子コンピューティングの現状は「それをどのように実現するかが分からない」ことを意味するとバルー氏は述べた。
「量子コンピューティングは、AIと同じようになってしまうのではないかと心配しています」とバルー氏は述べた。「実際にそれが現実のものとなるまでは、極めて重要なものとして優先されることはないでしょう。しかし、それは必ずやってくるのですから、私たちは事前に計画を立てておくべきです。実際に現実のものとなった時に、首を切られた鶏のようにならないようにしましょう。」
量子ゲームで先手を打つ
解決策はおそらく、中国で開発されているような量子通信ネットワークとポスト量子アルゴリズムの両方を組み合わせることになるだろうとバルー氏は示唆した。しかし、重要なのは、手遅れになる前に移行に着手するのに十分な時間があることだ。
「私たちは変化が苦手です。本当にひどいです」とバルー氏は言った。「全員を同じ立場に立たせ、同じレベルの理解で変革に投資してもらうのは、難しいでしょう。しかし、量子コンピュータが登場するまで待っていたら、私たちは窮地に陥るでしょう。」
