現実世界における混乱は波及し、「デジタルの波紋」を生み出し、私たちは変革を遂げる一方で、不変のものを意識する必要に迫られています。これは、月曜日に開催されたRSAカンファレンスの基調講演で、RSAのCEOであるロヒット・ガイ氏が伝えた主要なメッセージの一つでした。
ガイ氏は、2021年はランサムウェア、サプライチェーン攻撃、偽情報攻撃の年であり、私たちは今や物理的世界とデジタル世界が区別できないほどハイパーコネクテッドな世界に生きていると指摘した。
「ダーウィンの生存理論において、破壊は厳しいが公平な教師だ」と彼は言った。「破壊は三つの方法で変革を形作る。一つは、何が変わらず不変であるかを示すこと。もう一つは、最も重要なこと、つまり必須事項を明確にすること。そしてもう一つは、誤った信念、つまり教義を覆すことだ。」
ガイ氏は、パンデミックが発生した際に開発され配布されたmRNAワクチンを例に挙げ、常に変化する世界に住んでいても、定数は科学の進歩の基礎となるため、定数を気にかけるべきだと述べた。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
サイバーセキュリティで人間を守ることは常に
サイバーセキュリティは、情報が常に変化している場合でも、人々がテクノロジーを使用して情報にアクセスする能力を常に保護することを目指しています。
「実際、昨年だけで、私たちがこれまで存在してきたすべての年よりも多くの情報を生み出しました」とガイ氏は語った。
新たなテクノロジーは、新たなエクスプロイトと、それらを悪用するマルウェアを生み出します。人間の思考と行動もまた、不変のものです。
「私たちの業界は、次なる脆弱性や脅威、あるいはその次の脅威に事後対応的に追従する体制を敷いてきました」とガイ氏は述べた。「変革のためには、サイバーセキュリティにおいて唯一不変の要素、つまりアイデンティティに基づいたソリューションを構築する必要があります。」
ほとんどのサイバー攻撃は、個人情報の侵害により発生しますが、攻撃のほとんどは多要素認証によってブロックできますが、企業における導入率は依然として 50% にとどまっています。
ガイ氏によると、導入の障壁となっているのは、オープンスタンダードの欠如、ユーザーエクスペリエンス、そしてパスワードに対する慣習だ。しかし、Fidoのようなパスワードレス技術の成熟と、OpenID ConnectやSCIMといったオープンスタンダードの進化により、パスワードの時代は終わりを迎えつつあるとガイ氏は考えている。
しかし、MFAだけでは不十分です。
「ゼロトラストの世界では、アクセス、承認、アイデンティティ、ライフサイクル、ガバナンスを360度カバーする、インフラストラクチャに依存しない単一のプラットフォームで、アイデンティティの「誰が」「なぜ」「どこで」を管理する必要があります」とガイ氏は述べた。
ガイ氏は、こうした集中化によって、ユーザーのデジタルアイデンティティの管理権がユーザーの手に戻ると述べ、アイデンティティは「サイバーセキュリティの世界で唯一不変のもの」だと語った。
セキュリティ担当者が必須事項を認識することも重要です。偽情報に対抗するには、コンテンツの作成者とその評判を裏付ける必要があります。
「情報の真実性はサイバーセキュリティにおいて絶対的に必要不可欠です」とガイ氏は語った。
ガイ氏が聴衆に示した3つ目の洞察は、「教義や混乱を捨て去り、教義や旧来の考え方を覆す」ことです。「プライバシーに何十年も執着してきた結果、私たちはどういうわけか、最も個人的なデータを共有することに慣れてしまっているのです」と彼は言いました。
サイバーセキュリティにおいては、セキュリティと利便性の間で長い間トレードオフが存在してきました。
「教義は、セキュリティよりも利便性を優先すべきだと教えています」とガイ氏は述べた。「サイバー空間における混乱が私たちに教えてくれるのは、利便性よりもセキュリティを常に優先すべきだということです。利便性を犠牲にしてセキュリティを犠牲にするのはやめなければなりません。世界のデジタル化は、リスクがメリットを上回る限界を超えています。」
生産性、人工知能、分散型エッジコンピューティングなどの力が作用する中で、ガイ氏は「おそらく初めて、テクノロジーの変化の速度が人間の適応能力を上回っている」と指摘しました。
ガイ氏のもう一つのメッセージは、「安全性と利便性はゼロサムトレードオフだと考えるのはやめよう。危機を無駄にするのはもったいない」というものだ。
ガイ氏は聴衆に問いかけ、世界は本当にサイバーパンデミックが起きるまでセキュリティを変革しようとしないのかと問いかけました。パンデミックはそれほど多くの人命を奪うことはないかもしれませんが、深刻な影響を及ぼすでしょう。「セキュリティを変革するには、インフラ中心からアイデンティティと情報中心へと思考を転換する必要があります。」
相互につながった世界はサプライチェーン全体に影響を及ぼす
この日の2つ目の基調講演では、シスコのセキュリティおよびコラボレーション担当エグゼクティブバイスプレジデント兼ゼネラルマネージャーであるジートゥ・パテル氏が、世界の相互接続性とそれに伴うセキュリティ上の課題について聴衆に考えるよう促しました。企業はエコシステムのように機能しているのです。
「つまり、エコシステムの他のメンバーに何が起こったかによって、自社の生産やサプライチェーン、需要サイクルが大きな影響を受ける可能性があるということです」とパテル氏は述べた。
その結果、企業はリスクに対してより慎重なアプローチを取り、リスク評価を確実に行えるようになっています。パテル氏は、よく知られている脆弱性のうち、実際に修正されているのはわずか20%に過ぎないと述べ、企業に対しリスクに基づいた脆弱性管理に取り組むよう促しています。
これに関連して、「誰もがインサイダーである」という新しい流行の考え方があります。サイバー攻撃はよりパーソナライズ化されています。パテル氏によると、発生した侵害の56%は、悪意ではなく、無意識の過失によって発生しています。
パテル氏は、セキュリティ管理を簡素化するには、ユーザーにとっての摩擦を最小限に抑えつつ、流動性も確保する必要があると指摘した。利便性のためにセキュリティを犠牲にする必要はありません。摩擦が減れば、効率は自動的に向上するのです。
パテル氏は、大きな課題は、ビジネスやオペレーションのレジリエンスと同様に、セキュリティのレジリエンスも必要だと述べた。「サプライチェーンの最も弱い部分が、エコシステム全体を機能不全に陥らせる可能性があるのです。」
彼は、シスコのアドバイザリーCISO責任者であるウェンディ・ネイザー氏が「セキュリティ貧困ライン」という言葉を作り出したことを指摘しました。これは、すべての企業が維持すべき最低限のセキュリティ態勢の基準レベルがあることを意味します。企業がそのレベルを維持するための適切なリソースやノウハウを持たない場合、その貧困ラインを下回り、エコシステム全体を危険にさらすことになります。
彼は、サイバー攻撃を受けた企業の60%が6か月以内に廃業しているため、エコシステム内の小規模企業や非営利企業を無視しないよう聴衆に強く訴えた。
「私たちは団結してこの問題が解決されるよう努めなければなりません。」
