2023年のスカイハイ・セキュリティ脅威の予測

2022年11月16日

ティヤガ・ヴァスデヴァン - 製品担当副社長、Skyhigh Security

過去12ヶ月間、脅威の種類と深刻さは絶えず変化してきました。その性質は様々ですが、最近の傾向から2023年の脅威を予測する上で、学ぶべきことは多くあります。

人類は、これからも十字架を背負うことになるだろう

ベライゾンが指摘するように、情報漏えい、フィッシング／ヴィッシング、誤用、クラウドアカウントの設定ミスによるデータ流出など、情報漏えいの原因の82％を占めるのは人間である。

パンデミック以降、多くの従業員がハイブリッド型システムを標準化しており、今後もその傾向は続くと思われます。このことは、サイバー犯罪者が企業の標的を侵害するための膨大な機会を提供し続けることになる。ソーシャル・エンジニアリングは、これまで攻撃者に多大な利益をもたらしてきました。SIMスワッピング、SMSフィッシング、ヴィッシングの技術は進化する一方であり、これは新年も容赦のない課題である。

BYOD'oh！

BYOD は現在、従業員にとってほぼ必須の権利となっている。必然的に、ユーザーは同じデバイスで仕事とプライベートの両方のタスクを実行し、同じクラウドアカウント、パスワード・マネージャー、リモート・アクセス・リソースを同期する可能性が高くなります。ロックダウンされた企業資産の代わりにこの傾向が続くと、脅威当事者はこうした攻撃面を利用して、保護されていない、あるいはパッチが適用されていない個人所有のデバイスを、企業ネットワークへの侵入経路として悪用するようになるだろう。すでに2022年に見られたように、企業アカウントと個人アカウントの境界線が曖昧になったことで、攻撃者にとって大きな価値が生まれました。API経由で管理されていないデバイスから企業のクラウドプラットフォームへの「バックドア」や「サイドドア」と相まって、これは今後も激しい戦場となるだろう。

ネットワークアクセスに対するZero Trustだけでは不十分です：クラウドに対するゼロ・トラスト

ゼロ・トラストは、今日の課題に対応するために、組織がサイバーセキュリティに取り組む方法を戦略的に転換するものであり、注目度と関連性が急上昇しています。従来、ゼロ・トラストの柱である「最小特権」は、企業ネットワークへの従来のアクセス要求に対して考慮されてきました。現在では、企業のデータセンターではなく、クラウド経由でアプリケーションをホストする方がコスト効率が良いのが一般的です。しかし、これらのクラウド環境は、組織のネットワークの構成要素ではなく、SaaSベンダーやクラウドサービスプロバイダーによって管理されています。そのため、同じレベルの監視や制御が常に適用されるとは限りません。より多くの組織がクラウドに移行し、クラウドを採用する中で、新しいクラウドインフラストラクチャの設計にゼロトラストを組み込むことは非常に重要である。新しいリソースがクラウドのあちこちに生まれ、設定やアクセスに対する中央制御がほとんどない中で、クラウドは従来の企業ネットワークだけでなく、ゼロ・トラストの原則を切実に必要としているのです。

AIとMLの力でワークフローを改善し、リソースの制約を緩和する。

(ISC)² が最近実施したワークフォース調査では、世界的なサイバーセキュリティのスキル格差は340万人以上にまで拡大しています。これは特に新しい課題ではないかもしれないが、我々はより少ない人数でより多くのことを行うよう努力しなければならないという共通の主張を補強している。人工知能（AI）と機械学習（ML）の進歩のおかげで、データの検出と対応、高度な異常アルゴリズムとパターンマッチング、ポリシーの実施、自動化されたインシデント修復ワークフロー、その他多くの機能にわたってAI/MLの力を拡張する絶好の機会がある。組織が複数のベクトルにわたる巧妙な脅威の絶え間ない波に直面している現在、クラウド・セキュリティはAIとMLの機能をますます活用するようになり、スキル不足や人材確保の課題を軽減するだけでなく、強力なワークフローを自動化して、企業が攻撃者の一歩先を行くのを支援する。

データプライバシー規制をより強力に推進

クラウドへの急速な移行に伴い、データ・プライバシーの取り扱いはますます複雑になっている。堅牢なクラウド戦略にとって、データのプライバシーとセキュリティが重要な考慮事項であることは間違いない。ガートナーの予測によると、「2024年末までに、世界人口の75％が最新のプライバシー規制の下で個人データを保護されるようになる」という。このような規制の進化が、プライバシーの運用を促進する主要なきっかけとなっている」と予測している。パブリック・クラウドのデータ・セキュリティ・サービスは確かに成長するだろうが、データ・プライバシーと保護の基本的な要件には、データの識別と分類、データの保存場所と共有方法、使用方法の把握、そして最終的には、あらゆるベクトルにわたってデータをどのように保護する必要があるかが含まれる。ほとんどすべてのデバイスで企業のクラウド利用が普及している今日、急速に進化する今日のプライバシー環境は、明日のセキュリティ懸念の重要な原動力となることは間違いない。

まとめとして：

Skyhigh Security 、クラウドの急速な進歩がもたらす複雑さを理解しています。お客様のデバイス、ウェブ、クラウド、プライベートアプリケーションのすべてをカバーいたしますので、ご安心ください。https://www.skyhighsecurity.com/forms/demo-request-form.html。

ブログへ戻る