Cisco 調査レポート:レガシー・インフラのセキュリティ課題を明らかにする

Cisco Survey Surfaces Legacy Infrastructure Security Challenges

2021/12/07 SecurityBoulevard — Cisco の委託を受けて YouGov が実施した、5,123人の IT/Security/Privacy の専門家を対象とするグローバル調査 (Global Cisco Study Identifies Top Security Practices to Detect Threats and Ensure Business Resiliency) によると、39% の組織が古いと思われるセキュリティ技術に依存していることが判明した。

この調査では、IT およびセキュリティの技術を、四半期ごとにアップグレードしている企業は、数年ごとにしかアップグレードしていない企業に比べて、ビジネスへの追従性に優れている可能性が 30% ほど高いことも分かった。

また、人間/プロセス/プラットフォームを統合した SecOps チームは、ライバル企業に比べて 3.5 倍のパフォーマンスを発揮することが示唆された。さらに、自動化により、経験の浅い人材のパフォーマンスが2倍以上になることも示唆されている。

多要素認証プラットフォームを提供する Cisco Duo の、Head of Advisory for CISO である Wendy Nather は、今回の調査により、Cisco のようなベンダーや、更新プロセスを自動化する MSPに頼ることに、明確なメリットがあることが判明したと述べている。

しかし、アウトソースの検知/対応チームが優秀だと認識されている一方で、サイバー・セキュリティ・イベントへの平均応答時間 (MTTR: mean-time-to-respond) の点では、社内のセキュリティ・チームの方が高い即応性を持つ結果 (6日 対 13日) が出ている。

当然のことながら、この調査では、統合されたテクノロジーを持つ組織は、ハイ・レベルでのプロセス自動化を達成する可能性が、7倍も高いことが分かった。また、ゼロトラストまたは SASE (Secure Access Service Edge) アーキテクチャを成熟させている回答した企業は、強固なセキュリティ運用を行っていると回答する割合が 35% も高くなっている。また、脅威インテリジェンスを活用している企業は、サイバー・セキュリティ攻撃に対する、復旧平均修復時間を 50% 短縮している。

この調査では、事業継続能力と災害復旧能力が重要なシステムの、少なくとも 80% をカバーするまで、事業の回復力を維持する確率は向上しないことが分かった。また、事業継続能力と災害復旧能力を、定期的に複数の方法でテストしている組織は、事業の回復力を維持する確率が 2.5 倍になることも分かった。さらに、カオス・エンジニアリングを標準業務としている組織は、高レベルの回復力を達成する可能性が2倍ほど高いとのことだ。

Wendy Nather は、サイバー・セキュリティ・チームは、観測可能性と脅威インテリジェンス・ツールに対して、さらに投資すべきだと述べている。多くのサイバー・セキュリティ・チームは、自分たちが実装したセキュリティ・レベルに過大な自信を持っているが、実際にメトリクスにアクセスしてみると、自分たちの環境に存在するマルウェアの量が、思っていた以上である気づく。その瞬間が来るまで、多くの組織はサイバー・セキュリティの「知らぬが仏」状態に陥っている、と述べている。

Wendy Nather は、いまのサイバー・セキュリティに対する信頼度にかかわらず、リモート・ワーク移行とデジタル・ビジネス変革への投資が相まって、2022年には更に多くの組織がサイバー・セキュリティ戦略の見直しを迫られるだろうと指摘している。また、DevOps チームが IaC (Infrastructure-as-Code) ツールを用いてインフラをプロビジョニングする際に、DevSecOps のベスト・プラクティスをほとんど理解していないため、クラウド・セキュリティへのアプローチを再考する必要が生じるとも述べている。

結局のところ、企業が受け入れるべき問題は、レガシー・インフラを保護しようとする試みは、誰かが継続的に更新する as-a-service プラットフォームに依存するよりも、はるかに難しいということだ。残念ながら、すべての企業にとって、すべてのレガシー・インフラを一夜にして取り替える余裕は存在しない。

レガシーなインフラを刷新するにしても、その費用対効果を、どのように算出すればよいのかという、とても難しい問題が残ります。その一方で、クラウドへの移行を急いでも、セキュリティ関連の予算が追いつかないという問題もあるようです。どちらにしても、考えるべきは、ゼロトラストなのでしょう。よろしければ、「ゼロトラストにおける5つの迷信を検証していく」をご参照ください。

%d bloggers like this: