Skip to content
    
サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年12月20日

ポイント 1:幻想を抱くな。クラウドセキュリティは戦場で、あなた方は全く無防備だ。

はっきり言おう。クラウドセキュリティについて誰もが語っているが、ほとんどの組織はまだ後手に回っているのが現状だ。クラウドプロバイダーは自分達を守ってくれると思っているのか?考え直そう。彼らは利益をかき集めるのに忙しく、あなたのデータなど気にしていないのだ。では、CISOは何をすべきか?まず、 現状に満足するのはやめよう。古いセキュリティツールにしがみついていないか? クラウドでは役に立たないぞ。次に、チームのスキルアップを図ろう。クラウドプラットフォームの保護、データセキュリティ、アーキテクチャ設計 — これらは単なる流行語ではない。クラウドを制するには不可欠なスキルだ。そして、基本を忘れてはいけない。セキュリティエンジニアリング、リスク評価、アプリケーションセキュリティ — これらは、クラウドであろうとオンプレミスであろうとも、強固なセキュリティ体制の基盤となるものだ。

ポイント 2:SECの開示規則?むしろ官僚主義の悪夢だ!

米国証券取引委員会(SEC)のサイバーセキュリティ開示規則は、官僚主義的な悪夢だ。Form 8-K(即時報告書)とForm 10-K(年次報告書)の複雑な手続きは、弁護士やコンサルタントを満足させることを目的としたものであり、必ずしも我々のセキュリティを向上させるものではない。しかし、SECの事務処理に溺れている間に、攻撃者は我々の脆弱性を開拓して、悪用することに余念がない。単にコンプライアンスのチェックボックスを埋めるためだけのツールではなく、真の優位性をもたらすツールが必要だ。 Contrast ADR(アプリケーションにおける検知と対応)はまさにそれを実現する。アプリケーションの深層に潜り込み、隠れた脅威を探し出し、被害が出る前に阻止する。リアルタイムで脅威を可視化し、単に書類上のコンプライアンスではなく、真に実戦的なセキュリティ体制を構築できる。

ポイント 3:CISOたちよ、2025年はルールにとらわれずに少し危険な道に進む覚悟はできているか?

コンプライアンスが我々の首を絞めている。GDPR、CCPA、HIPAA — たくさんの略語が混在して分かりにくい規制の羅列は、誰もが頭を悩ませるのに十分だ。しかし実際には、コンプライアンスとセキュリティと同じではないのだ。確かに、ADRはコンプライアンスのチェックボックスを埋めるのに役立つ。 だが、ADRの真の力についてお話ししよう。それは、アプリケーションに潜む隠れた脅威、つまり従来のセキュリティツールでは見落とされていた脅威を明らかにすることである。それは、監査担当者のためのレポートを生成するだけではなく、悪意のあるアクティビティをリアルタイムで追いかけることである。それは、単にコンプライアンスを満たすだけでなく、危機に対して真に回復力のあるセキュリティ体制を構築することである。だから、規制当局を満足させるだけでなく、ADRを使ってセキュリティの限界に挑戦しよう。2025年は、防御に徹するのはやめて、攻撃者に戦いを挑む年にしよう。

David Lindner、最高情報セキュリティ責任者

Davidは、サイバーセキュリティの分野で20年以上の経験を持つアプリケーションセキュリティの専門家です。最高情報セキュリティ責任者としての役割に加えて、Contrast研究所を率いています。Contrast研究所では、脅威インテリジェンスを分析し、企業がより予防的なアプリケーションセキュリティプログラムを開発できるように支援することに取り組んでいます。Davidは、セキュリティ分野のさまざまな領域で活躍してきました。アプリケーション開発からネットワークアーキテクチャの設計・サポート、ITセキュリティとコンサルティング、セキュリティトレーニング、アプリケーションセキュリティに至るまで、幅広いキャリアがあります。過去10年以上にわたり、モバイルアプリケーションとそのセキュリティに関するあらゆる分野を専門としてきました。金融、政府、自動車、医療、小売など、業種を問わず多くの顧客と仕事をしています。また、Davidは多くのバグ報奨金プログラムに積極的に参加しています。