クラウドセキュリティの状態

クラウドの台頭に続いて、クラウドがホットなトピックになったと言っています。それは独自の課題を伴うユニークな規律であることが判明しましたが、なぜですか？一般的にITセキュリティと違うのは何ですか？これについては、意識、PQR、Tesorion、Thales、およびUpwind Securityの専門家との円卓会議の議論で掘り下げます。

2025年のクラウドセキュリティは、流行だけでなく、大企業でもあります。これは、GoogleのWizの記録的な買収から320億ドルで明らかです。 Upwind SecurityのソリューションアーキテクトであるSteven Duckaertは、この買収を「印象的」と呼び、それを市場全般にとって良いことだと考えています。彼は、Googleの親会社であるAlphabetが、巨大なアドレス指定可能な市場を指して支払った高価格のタグについて説明しています。 Duckaertによると、Googleは買収に関して最高の評判を持っていないので、Wizがロックインの後ろに消えるかどうかを待つ必要があります。

ThalesのセールスディレクターデータおよびアプリケーションセキュリティBeneluxであるSteven Maasは、Wiz取引について次のように説明しています。「Googleはパブリッククラウド市場の15％未満を所有しています。クラウドビジネス以外のことで知られているため、このような動きをする必要があります。」 Tesorionの最高調査責任者であるErik de Jongによると、Wizの買収は最終的に顧客にとって有害で​​ある可能性があります。市場での統合がめったに価格の低下につながることはめったにありません。ベルギーのコンカイアのシステムアーキテクトであるウェスリースワルテレは、ウィズのようなソリューションがしばしばより大きなスイートに姿を消すことを知っています。 「その時点までに、あなたはそれを選択肢として失いました」と彼は結論付けています。

PQR Andre Hondersの戦略的建築家は、Googleの動きをさらに一歩進めます。 「2025年の焦点はクラウドセキュリティにあります。」理由と方法を確認するには、クラウドを確保するという課題と従来のオンプレミス環境の違いを理解する必要があります。または、愚かな質問のようなものがないことを知っています：とにかくクラウドセキュリティとは何ですか？

他の誰かのデータセンター、またはそれ以上？

「クラウドは、他の誰かのデータセンターで操作を発生させています」とスティーブンマースは要約しています。 「サードパーティのリソースを使用していますが、自分でコントロールを維持することが重要です。」これを実現する方法はたくさんあります。独自のキー、パブリッククラウドとオンプレムを組み合わせた管理プラットフォームの使用など。これは、共有責任モデルが作用する場所です。 「顧客として、あなたはあなたのデータがどこにいても責任を負っています。それは非常に簡単です」とMaas氏は言います。エリク・デ・ジョンは、「その責任はあなたのコントロール以外で変化する可能性がある」というニュアンスを追加します。彼は、NIS2やサイバーレジリエンス法（CRA）などの貪欲に言及しており、組織にますます高い要求を課し、行動を強要しています。データの損失が発生した場合、彼らは自分のセキュリティの姿勢を順番に持っていない場合、他の誰かに指を向けることはできません。

このすべてにおける重要な複雑な要因は、顧客がクラウドデータセンターで何が起こっているかを常に知っているわけではないことです。同時に、De Jongは、オンプレミスの環境にも同じ問題があることを認めています。 「さまざまな問題があり、多くの重複があります」と彼は言います。ウェスリー・スワルテレは同意します。

Andre Hondersは、クラウドの特定の側面を指摘しています。「他の10人の顧客と共有環境にいることができます。これは、存在しないさまざまなビジョンとテクニックに対処しなければならないことを意味します。」これは確かにそうです。パブリッククラウドで考慮すべき最悪のシナリオがたくさんあります。たとえば、HyperScalerでの構成エラーにより、ある顧客が別の顧客のメモリまたはストレージにアクセスできる場合はどうなりますか？

一方、Steven Duckaertは、多くのソリューションがオンプレミスとクラウド環境の両方に適していると主張しています。 「なぜ雲のためにフェラーリを購入し、オンプレミスのために安い車を買うのですか？リスクは同じくらい素晴らしいです」と彼は述べています。実際、組織は、オンプレミス環境でのリスクを認識している可能性が高くなります。 「C-Suiteは、各環境のセキュリティソリューションで睡眠を失っていません」とDuckaertは続けます。彼は、クラウドセキュリティベンダーもオンプレミスのソリューションを提供していると指摘しています。 「顧客はまた、環境を保護するために風上からSaaSを使用します。アラートが多すぎないようにするには、ランタイムコンテキストが必要です。」

これが、クラウドセキュリティと一般的なセキュリティが再び融合する方法です。会話の間、私たちは本質的に、要件と希望がほぼ同じであることを常に聞きます。結局のところ、オンプレミスの場所もクラウドです。それにもかかわらず、TesorionのDe Jongは、特定の注意点に「ラベルを付けるのに役立つ」ことを思い出させます。彼は、Microsoftが特定していると指摘しています 5つのセキュリティドメイン、「しかし、それは知覚の問題です。」言い換えれば、セキュリティフィールドの分割は有用なものですが、石には設定されていません。

それは規模の問題です

Steven Maasは、オンプレミスソリューションと根本的に異なる提供を提示するクラウドプラットフォームへの移動に付加価値を見ています。 「クラウドプロバイダーは、自分でできるよりも優れた問題を整理すると想定できます。これはよくあることです」と彼は言います。彼は、データセンターや冗長性内の火災防止などの問題をはるかに超えて、デジョンとホンダースの両方が共有する見解です。その結果、組織はより正確に質問をターゲットにすることができます。 「データはどうなりますか？誰がそれにアクセスできますか？暗号化されていますか？ 「保存場所に関係なく、顧客にコントロールが留まる必要があります。データの暗号化、トークン化、量子安全性になります。自分自身を設定する必要があります。」

ただし、主要なボトルネックは資格のある人員の不足であり続けています。セキュリティに関してはいつもこれを聞きます。また、それ以外の分野でも、それが起こるように、社会全体の結論を引き出すことができることを意味します。それにもかかわらず、このセクターでは、おそらくスタッフの不足がより深刻です。エリク・デ・ジョンは、社会全体が同様の問題を抱えていると考えています。 「これはIT問題ではありません。画家に尋ねてください。すべての企業で、労働力の少数がほとんどの仕事をしています。」 WesleySwarteléは、この業界の組織が適切な人々を見つけることが課題であることに同意します。 「適切な考え方で優れたITプロフェッショナルを見つけることは困難です。これらは9対5を超えて働く人々です。最新の開発について読んで、自宅で独自のラボを持っています。開発は決して止まりません。フィールドは非常に迅速に進化しています。」単にこれらの人々を見つけるのではなく、たとえそうであっても、多額の金額なしで彼らを保持することは幸運です。

Steven Duckaertは、別の側面、すなわちAIを指しています。このテクノロジーは、多くの場合、問題を簡素化するのに役立つソフトウェアへの追加として特徴付けられます。しかし、真実から遠く離れることはできません、と彼は言います：「AIのツールは防御者にとって困難です。セキュリティは本当に複雑です。」

現実：過剰と過小評価の間

クラウドセキュリティ全体のより良い絵があるので、2025年の実際の現実に移行しましょう。実際のクラウドセキュリティの状態は何ですか？ WesleySwarteléは、クラウドの疑いのない採用は当然のこととは思えないものであると考えています。クラウドの出現は、興奮の突風と非常に少ない重要なスタンスによって満たされましたが、これは今や変化しています、と彼は言います。前述のように、変更は法的な必要性からほとんど発生していますが、組織もすべてのデータを他の誰かに転送したくないだけです。 「人々は今、「クラウドへのデータはもうない」と言うかもしれません」とスワルテレは述べています。 「暗号化に関しては、組織は鍵の制御を要求します。これらは、NIS2などの最近の法的展開とより厳しい要件によって促進されています。一部の大規模な組織は、すべてを暗号化して鍵を確保するこの特定のニーズに過度に焦点を合わせています。」

暗号化に焦点を当てることは、これが正しい道であるかどうかという問題を提起します。スティーブン・マースは、ここで予測不可能な要因を指摘しています。2025年の地政学的な現実、この現実が伴うすべてのリスクを伴います。 「地方自治体は何をしているのか？暗号化は、制御を維持する手段の1つです。」エリク・デ・ジョンは、米国のクラウドの採用の潜在的な不利益に対する認識は、10年前に存在していたはずだと主張しています。 「ヨーロッパレベルでは変化が起こります。しかし、1人のEUメンバーの観点から見ると、物事を整理する機会はありません。」

Swarteléは、ハイブリッドクラウドを理想的なソリューションと見なしています。しかし、「ヨーロッパとして、私たちは手遅れです」と彼は言い、AWS、Azure、Google Cloudに真のヨーロッパのカウンターウェイトを提供できないことを言及しています。マースはそれを違って見ています：「国立雲の作成を含め、代替手段が来ています [editorial note: in this case, Maas is referring to the Netherlands]。」 De Jongは、「最終的な顧客として、数回クリックする代替品はまだありません。」おそらくそれが問題の核心です。技術的に言えば、すべての機能はヨーロッパのツールで利用できるかもしれませんが、これらのツールにはシンプルさがありません。

ダメージと不名誉による動機

法律の重要性について何度か言及しました。クラウドを確保するための組織間で本質的な動機はすでにありますか？ Steven Duckaertは、適切な規制が良いガードレールを提供すると考えています。 「今すぐ収穫して、後で復号化します リスクです。しかし、キーを保存することはすでにかなり簡単です。」彼は、誤った不明瞭さに多くの注意を払っていると述べています。

エリク・デ・ジョンは、そのような問題は顧客ごとに大きく異なると指摘しています。 「私たちはそれを本質的な動機と呼んでいますが、その「動機」はどこにでも見られるランサムウェア攻撃から来ています。リスク認識はより現実的になりました。」

スティーブン・マースは、この分野に明確な変化を見ています。「サイバー攻撃が生産ライン全体を停止にすることができるという事実は、多くの企業にとっての転換点です。」彼はサイバー攻撃やその後のデータ侵害などの地域の例を引用しています Duvel Moortgatで。 「間違いなく認識があります。コストがかかりますが、このタイプのセキュリティを投資として販売する必要があります。クラウンの宝石を保護したい」 Andre Hondersは、会社の規模を区別しています。「中小企業にとって、ソリューションはすぐに機能しなければなりません。彼らはそれに投資するつもりはありません。」

結論：正しい質問をすることに進みます

クラウドセキュリティは成熟した規律であるだけでなく、それを採用する多くの理由があることがわかります。これは、テーブルの専門家によって認識されています。テーブルは、それぞれが異なる角度からクラウドセキュリティの競技場を見ています。 Wizと他の多くのスタートアップ、セキュリティプラットフォーム、ハイパースカラーの両方から多くの答えがあります。ただし、これらのソリューションのいくつかが答えになることができる正しい質問をするのは顧客次第です。そうすることへの不本意は正式に注目されています。このため、中小企業から企業まで、それらの質問が正確に何であるかについて、後の記事を捧げます。そして、さらに重要なことは、それらの質問がどうあるべきか。

今のところ、クラウドセキュリティが非常に話題のITセクターの側面に触れることは明らかです。サイバーの脅威はどこにでもあり、攻撃者はそれがますます簡単に打つことができると感じています。そのため、CNAPP、CSPM、CWPP、DSPMなどの多くの用語があります。後の記事では、この複雑さを深く深め、組織がどのように対処したいかを確認し、今日紹介した同じ専門家から意見を取り入れます。これらのソリューションは、低屈みのある果物から、組織のビジネス側を説得することにまで及びます。これは、セキュリティスペシャリストが毎日やらなければならないことです。

また読む： エージェントAIの時代に待つ時間はありません