「あなたの会社のセキュリティ対策は時代遅れ」Microsoftのクラウド担当が語る

Microsoftのクラウドセキュリティ担当バイスプレジデントは、セキュリティを高める手法を間違えている企業が少なくないと語る。現在のITシステム構成や攻撃内容から考えると、ダイナミックで現実的な手法が必要なのだという。どのような手法だろうか。

[Matt Kapko，Cybersecurity Dive]

　企業の担当者が経験を積む速度と、サイバーセキュリティの穴を突く攻撃者の速度が全く釣り合っていない。10年前に有効だった戦略が、現在は役立たないのだ。

　Microsoftのクラウドセキュリティ担当バイスプレジデントであるショーン・バイス氏は、ゼロトラストデータセキュリティに携わるRubrikが主催し、2022年9月14日に開催された「Data Security Summit」で「われわれには新しい考え方が必要だ」と述べている。

　「日々脅威にさらされている中、サイバーセキュリティの未来を明るいものにするには、考え方を根本的に変えることが必要だ」

　時代遅れの慣習に頼り続けているなら、サイバーセキュリティの担当者は、現代の攻撃形態に立ち向かうことができなくなる。

　この問題は、「セキュリティ」という用語そのものにも及ぶ。用語がわれわれの認識に悪影響を与えているのだ。バイス氏はこの用語を「ちょっとした誤用」と表現している。危険や脅威がない「セキュリティ」という用語の本来の定義が、間違ったアプローチにつながる可能性がある。

　「これはルールのないゲームだ。プレイヤーは既知でも未知でもよく、正直なところ、勝利とはゲームに参加し続けることだ」とバイス氏は言う。「だからこそ、サイバーセキュリティは自分が管理する問題であるというメンタルモデルを持つことが重要なのだ」

　逆に言えば、サイバーセキュリティは解決できる問題ではないのだ。

　最新のアプリケーションやシステムを強化するためのテクノロジー環境が進化するにつれ、企業は複数のクラウドベンダーのソフトウェアを頻繁に使用するようになってきた。遠隔地に位置する多数の従業員がアクセスするオンプレミスのハードウェアやソフトウェアがこれに加われば、攻撃対象が非常に大きくなることは容易に理解できると、バイス氏は述べている。

　「これによって、これまで見たこともないようなリスクがわれわれのデータにのしかかっている」とバイス氏は述べる。「このような膨大な脅威から身を守るには、全てを保護する必要がある。安全にしたいものを選んで選択するという選択肢はない。繰り返しになるが、全てを保護する必要があるのだ」

　そのために、バイス氏はサイバーセキュリティツールが環境間でより効果的に機能するように、組織はより良いコラボレーションを行い、脅威情報をオープンに共有する必要がある、と指摘する。さらにデータのレジリエンス（回復力）と復元力も、リスクを管理する上で不可欠であるとした。

　バイス氏は「攻撃を100％防ぐことはできない」と述べている。「100％防ぐことができればそれが一番良いのだが、不可能だ。われわれは回復力について考えなければならない。攻撃を受けている間でも、ビジネスを継続しなければならないということだ」

出典：Microsoft cloud security exec challenges organizations to ditch outdated practices（Cyberserurity Dive）