Last Updated on 2024-04-27 08:55 by 荒木 啓介
ゼロトラストのパイオニアがクラウドセキュリティの安全性に疑問を呈し、クラウド環境がオンプレミス環境と同じくらい安全ではないと警告している。ハイブリッド環境では、ネイティブセキュリティコントロールの管理が困難であり、セキュリティはアイデンティティだけに依存すべきではない。多くの企業がクラウドで何を保護すべきかを正確に把握しておらず、クラウドネイティブ開発ではセキュリティが不十分なことが多い。
ソフトウェアのビル・オブ・マテリアル(SBOM)が、脆弱性のあるソフトウェアを特定する手がかりとして重要視されている。政府やセキュリティに敏感な企業はSBOMの提供を求めており、攻撃者もSBOMを利用して脆弱性を持つアプリケーションを見つけることが可能である。SBOMには攻撃者に利用される可能性のある他のコンポーネントやユーティリティもリストされている。
マレーシア、シンガポール、ガーナなどの国々では、サイバーセキュリティの認証とライセンスを義務付ける法律が制定されている。これにより、サービスプロバイダーや個々のコンサルタントはライセンスを取得する必要があり、一部の専門家はこれらの動きが潜在的な危険性を生じさせる可能性があると指摘している。
ジョンソン・エンド・ジョンソンのスピンオフ企業であるKenvueのCISOが、機械学習とAIの導入、ツールとプロセスの見直し、ゼロトラストの採用を含むセキュリティプログラムの最適化に取り組んでいる。
SolarWinds事件を受けて、サイバーセキュリティのインシデント開示に関するSECのルールについての議論が行われている。インシデントに迅速に対応し、修復を行った場合、開示ルールを緩和するべきだという提案がある。
【ニュース解説】
クラウドセキュリティの現状について、ゼロトラストの概念を提唱したジョン・キンダーヴァグ氏が、クラウド環境が自動的に安全であるわけではなく、多くの組織が成熟したクラウドセキュリティの実践を行っていないと指摘しています。特に、クラウドとオンプレミス環境のセキュリティ責任の共有モデルが機能していない、ハイブリッド環境でのセキュリティコントロールの管理が困難である、アイデンティティ管理だけに依存することのリスク、保護すべき対象の不明確さ、クラウドネイティブ開発におけるセキュリティの軽視など、複数の課題が浮き彫りになっています。
一方で、ソフトウェアのビル・オブ・マテリアル(SBOM)が、サプライチェーンリスクに対処するために重要視されていますが、攻撃者によって脆弱性のあるソフトウェアを特定するための手がかりとして利用される可能性も指摘されています。SBOMには、攻撃者が利用可能な他のコンポーネントやユーティリティもリストされており、攻撃の足がかりとなり得ます。
さらに、マレーシア、シンガポール、ガーナなどの国々では、サイバーセキュリティの専門家や企業に対して認証とライセンスの取得を義務付ける法律が制定されています。これは、サイバーセキュリティの質を保証するための一歩としては前進ですが、専門家の間では、このような規制が持つ潜在的なリスクについても懸念が表明されています。
ジョンソン・エンド・ジョンソンからスピンオフしたKenvueのCISOは、セキュリティプログラムの最適化に取り組んでおり、機械学習とAIの導入、ツールとプロセスの見直し、ゼロトラストの採用など、現代のセキュリティ戦略の採用を進めています。
SolarWinds事件を受けて、サイバーセキュリティのインシデント開示に関するSECのルールの見直しが提案されています。具体的には、インシデントの修復を4日以内に完了した場合には、開示ルールを緩和するというものです。これにより、企業はインシデントへの迅速な対応と修復に集中できるようになり、公開情報の影響を最小限に抑えることができるようになります。
これらのニュースは、クラウドセキュリティ、サプライチェーンリスク、サイバーセキュリティの規制、セキュリティ戦略の最適化、インシデント開示のルールといった、サイバーセキュリティの様々な側面における現在の課題と進展を示しています。これらの課題に対処するためには、技術的な解決策だけでなく、組織の文化やプロセスの変革、法的・規制的な枠組みの整備も必要とされています。
from CISO Corner: Evil SBOMs; Zero-Trust Pioneer Slams Cloud Security; MITRE's Ivanti Issue.
