フィンランドのヘルシンキで開催されたWithSecure Sphereカンファレンスは、水曜日、レーシングスクーナー「ガリアナ」のデッキでCEOのユハニ・ヒンティッカ氏によるスピーチで幕を開けました。ボートチームが見守る中、ヒンティッカ氏はボートレースにおける協調性の重要性と、WithSecure独自の成果重視型セキュリティと協調型セキュリティ(「co」セキュリティ)の概念を比較しました。
共同安全保障はイベントの中心テーマであり、フィンランドがロシアに近いこと、そしてウクライナがロシアとの紛争中に公共部門と民間部門の両方でパートナーとITボランティアに依存していたことを考えると、感慨深いテーマであった。
ジャンプ先:
- 「協力が鍵」:ウクライナのサイバー責任者
- WithSecureのCEOは、反応ではなく結果がセキュリティを推進するべきだと語る
- 成果重視はセキュリティが企業目標を推進するのに役立ちます
- クラウドを保護する新しいモジュール
協力が鍵:ウクライナのサイバー責任者
このイベントでは、ウクライナ国家特別通信情報保護局副会長兼最高デジタル変革責任者のヴィクトル・ゾラ氏によるバーチャルプレゼンテーションが行われ、2022年初頭のDDoS攻撃やワイパー攻撃から最近の民間人に対するフィッシング攻撃に至るまで、ロシアからのサイバー攻撃の変幻自在な課題に対処する上でパートナーシップが重要な役割を果たしてきたことについて語りました。
参照:フィンランドもロシアのDDoS攻撃の標的となっている。
WithSecureのCEOは、反応ではなく結果がセキュリティを推進するべきだと語る
同社はイベントで、クラウドベースのセキュリティプラットフォーム「WithSecure Elements」をご利用のお客様向けに提供されるクラウドセキュリティポスチャ管理を含む、複数の新製品も発表しました。この新しいWithSecure Elementsモジュールは、成果重視のセキュリティアプローチに沿ったもので、ヒンティッカ氏によると、サイバーセキュリティと防御態勢を企業のより大きな戦略目標と統合することを目指しています。
「歴史的に、サイバーセキュリティの実践は脅威に基づいており、すでに起こったことに対応するものでした」と彼は述べ、企業の64%が依然としてセキュリティに対して従来型の事後対応型アプローチを取っていることを示すフォレスターの調査を引用した。
「デジタル化によるビジネス環境の進化は、ITの進化を必要としていることを意味します」と彼は述べた。「私たちが提案したいのは、次のステップ、つまり企業が真に達成したいことは何なのかということです。企業はサイバー目標とビジネス目標をどのように結びつけるのでしょうか?」
ヒンティッカ氏は、最高情報セキュリティ責任者(CIO)にとって重要な問題は、優先順位をどのように付け、何に投資するかだと述べた。同氏はフォレスターの別の統計を引用し、企業の83%が成果重視のセキュリティに関心を持ち、その実現のためには基本的なベンダーとの関係を維持するのではなく、他社との提携を望んでいると述べた。
「サイバーセキュリティはもはや単なる付け足しではありません。製造業の設計のように、セキュリティのためのプロセス設計から始める必要があります」とヒンティッカ氏は述べた。同氏はTechRepublicに対し、脅威のランドスケープの広範さと多様性を考えると、この考え方にはメリットがあると語った。
参照: WithSecure では、ビジネス目標に沿ったセキュリティの重要性について説明しています。
「私たちは市場に出回っているあらゆる製品やサービスに注目しています。CISOの立場に立って考えてみてください。どのように優先順位を決め、会社の経営幹部とどのように議論するでしょうか?賢明な企業は、サイバーセキュリティ体制への投資が企業存亡の危機であることを理解しています。投資しなければ、事業を失う可能性があります」と彼は述べた。「今日、あらゆる企業はある意味でソフトウェア企業であり、それゆえに脆弱です。ですから、どこに資金を投入すべきかという真の問いが問われているのです」と彼は付け加えた。
成果重視はセキュリティが企業目標を推進するのに役立ちます
フォレスター社のヨーロッパ調査部門を率いるローラ・ケッツル氏は、成果重視のアプローチには共同セキュリティ、つまり従来のベンダーと顧客の関係を超えた共同の取り組みとしてのサイバーセキュリティが含まれると説明した。
「企業が目指すセキュリティ成果を追求するという考え方です。例えば、顧客基盤を10%拡大したいと考えているなら、自社のセキュリティ対策がどのようにその目標達成に役立つのかを自問するでしょう」とコッツル氏は述べた。
「もしあなたが確立された企業であり、15年以上にわたって多くのセキュリティインフラ、ポリシー、手順を構築してきた場合、何をやめるべきかを言うことはほとんどないのではないでしょうか」と彼女は付け加えた。
彼女は、ウィズセキュアのような企業は、セキュリティ脆弱性に対するソリューションベンダーとして顧客にアプローチするのではなく、企業の戦略目標を問いかけ、その目標達成を中心にセキュリティを構築していくと述べました。「これまでとは異なる発想が求められます」と彼女は語りました。
クラウドベースのインフラストラクチャを保護する新しいモジュール
同社は、新しいクラウド セキュリティ ポスチャ管理モジュールを、Elements のエンドポイント保護、エンドポイント検出・対応、そして脆弱性管理およびコラボレーション保護モジュールを補完するものと説明しました。CSPM 製品は、一般的なクラウドベースの IaaS プラットフォームにおける脆弱性や設定ミスに関連するリスクを管理することを目的としており、Amazon Web Services と Microsoft Azure をサポートしています。
同社によれば、新しいモジュールには以下が含まれる。
- リスク レベルに基づいて誤った構成を識別し、優先順位を決定し、軽減手順を添えたクラウド セキュリティ ポスチャ スキャン。
- 構成では、過度に許可された ID およびアクセス管理権限、暗号化されていない保存データ、パブリック IP アドレスにアクセスできるクラウド インスタンス、その他のクラウド セキュリティの問題がないかチェックします。
- WithSecure のコンサルティング専門知識と調査との連携。
- セキュリティ体制の経時的な変化や、さまざまなセキュリティ体制の分析情報などのグラフを表示する専用ダッシュボード。
- エンドポイント セキュリティ、コラボレーション保護、脆弱性管理製品とともに、単一のポータルを介して複数の企業および複数のクラウドを管理します。
- マネージド サービス プロバイダーやマネージド セキュリティ サービス プロバイダーなどのパートナーが、クラウド セキュリティ ポスチャ管理をマネージド サービスとして顧客に提供できるようになります。
参照:
ゼロトラスト アクセスを使用してコンプライアンスを維持し、一般的な MDM の問題を解決する (TechRepublic)
採用キット:サイバーセキュリティエンジニア(TechRepublic Premium)
Pythonを学ぶ: 初心者開発者とコーディングエキスパート向けのオンライントレーニングコース
(TechRepublicアカデミー)
サイバーセキュリティとサイバー戦争:さらに必読の記事(FlipboardのTechRepublic)
