サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2025年3月14日

ポイント1：我々はセキュリティ負債というぬるま湯に浸かるカエルだ

企業は高リスクのソフトウェアセキュリティ負債に溺れている。重大な脆弱性が修正されるまでに平均252日間も放置される。これは、技術スタックがハッカーの沼と化すのに十分な時間だ。従来のアプリケーションセキュリティツール、例えば静的アプリケーションセキュリティテスト(SAST)は、ハリケーンの中の紙傘のように全く役に立たないことを証明している。そこで登場するのがアプリケーションにおける検知と対応(ADR)だ。これは、脅威を検出するだけでなく、リアルタイムで無効化する大胆なソリューションであり、現代の猛烈な開発サイクルに追いつく。SASTが過去に取り残されている一方で、ADRは未来だ。それは、積極的で機敏であり、現代のソフトウェアの混沌に対応するために構築されている。時代遅れのツールにしがみつくことは危険なだけでなく、侵害のニュースの見出しへの近道だ。選択は明白だ。ADRへと進化するか、残骸の中に置き去りにされるか。さあ、テックワールド、どうする？

ポイント2：CISO達よ、サイバーレモンをビジネスレモネードに変える

最高情報セキュリティ責任者(CISO)は、もはや単なるデータの守護者ではない。彼らはビジネス継続性の設計者だ。サイバー脅威が避けられない時代において、CISOの成功の真の尺度は、攻撃を防ぐことだけでなく、ビジネスが攻撃に耐え、回復できることを保証することにある。これには、純粋な防御的思考から、セキュリティをビジネス運営の中核に織り込み、レジリエンスを企業戦略の不可欠な部分とする戦略的アプローチへの転換が求められる。

ポイント3：CISOはテックワールドの新たな生贄だ

サイバーセキュリティ業界は危機に向かって突き進んでいる。CISOは侵害に対する個人的な責任がエスカレートしており、この傾向はこれらの重要な役割からトップ人材の大規模な流出を引き起こす可能性がある。これは責任追及ではない、魔女狩りだ。CISOは法的な十字砲火の前に投げ出され、資金不足のチーム、時代遅れのツール、企業の無関心に根ざした失敗の責任を負わされている。それは、都市が十分な水を提供しなかった場合に、消防士が火災を止められなかったことを罰するようなものだ。個人をスケープゴートにする業界の執着は、近視眼的であるだけでなく危険だ。CISOは奇跡を起こす人ではなく、完璧を期待することは災害へのレシピだ。もしこれが続けば、誰が敢えてその仕事を引き受けるだろうか？CISOが船を降りるという噂はすでに表面化している。CISOがいなければ、侵害は続くどころか爆発するだろう。解決策は？CISOを生贄のように扱うのをやめ、彼らが成功するために必要なリソース、法的保護、明確なガイドラインを提供することだ。そうでなければ、業界はリーダーを燃え尽きさせるだけでなく、家全体を燃やしているのだ。人材が消え、ハッカーが乗っ取る前に目を覚ませ。