Cloud CISO の視点: 以前のテクノロジーに伴う高額なセキュリティ コスト
Phil Venables
VP, TI Security & CISO, Google Cloud
Andy Wen
Director, Product Management, Workspace Security
※この投稿は米国時間 2024 年 11 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。
2024 年 11 月最初の「Cloud CISO の視点」をお読みいただきありがとうございます。今回は、Google Cloud の Google Workspace プロダクト管理担当シニア ディレクターの Andy Wen とともに、以前のテクノロジーに伴う高額なセキュリティ コストに関する Google の最新の調査結果をご紹介します。
これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。
--Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables
以前のテクノロジーに伴う高額なセキュリティ コストへの対処
Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables & Google Workspace プロダクト管理担当シニア ディレクター、Andy Wen
ビジネスの観点から見ると、多くの組織がいまだに旧式のテクノロジーを利用している理由は容易に理解できます。古いシステムからの移行には費用がかかるためです。しかし、利用を続けることで、メリットをはるかに上回る隠れコストが発生します。
以前のテクノロジーによって、組織が直面するビジネスリスクとセキュリティ リスクは大幅に増大する可能性があります。2024 年のセキュリティ侵害 1 件あたりの総被害額が全世界で平均 488 万ドルであったことを踏まえると、深刻な懸念事項です。セキュリティ意思決定者と IT 意思決定者 2,000 人以上を対象に実施した Google Workspace の最新のグローバル サイバーセキュリティ調査によると、最新のソリューションが数多く出回っているにもかかわらず、あまりにも多くの組織が依然としてデスクトップ時代向けに設計された防御機能を利用しています。
以前のシステムの運用によるセキュリティへの影響については、以下のデータが深刻な現状を物語っています。
- 71% が、以前のテクノロジーを利用しているため、自社は将来に向けて十分な準備ができていないと回答しています。
- 63% が、自社のテクノロジー環境のセキュリティは以前と比べて低下していると回答しています。
- 66% 以上が、自社環境のセキュリティにこれまで以上に多くの時間と費用を投資してもなお、大きな被害をもたらすセキュリティ インシデントが発生していると回答しています。
- 組織の 81% で年間 1 件以上のセキュリティ インシデントが発生しています。
- 組織は年間平均 8 件のセキュリティ インシデントを経験しています。
セキュリティ リーダーの多くは、セキュリティ ツールを増やすために投資するよう自社を説得しています。今回の調査では、組織の 61% が 2 年前よりも多くのセキュリティ ツールを使用していることも明らかになりました。しかし、組織の 3 分の 2 以上が自社環境のセキュリティにより多くの時間と費用を投資してもなお、多くの組織が大きな被害をもたらすセキュリティ インシデントを経験しています。
多数のセキュリティ ツールを導入している環境では、多くの場合、セキュリティ インシデントに対する脆弱性が修正されない以前のプラットフォームを補完しようとしています。一方で、セキュリティ リーダーの 81% は、クラウド ファーストのプラットフォームの方が以前のプラットフォームよりも安全だと考えています。
- 10 種類以上のセキュリティ ツールを利用している組織では、年間平均 14 件のセキュリティ インシデントが発生し、そのうち 34% が年間 25 万ドル以上をインシデント対応に費やしています。
10 種類未満のツールを利用している組織では、年間平均 6 件のインシデントが発生し、そのうち 19% が年間 25 万ドル以上をインシデント対応に費やしています。
CISA ディレクターの Jen Easterly は 9 月に開催された mWISE カンファレンスの基調講演において、「セキュリティ ツールを増やすのではなく、より安全なツールを増やすことが解決につながる」と述べました。
私たちも、この点をたびたび指摘してきました。今日のセキュリティ環境において真のレジリエンスを実現するためには、組織が IT の全面的な見直しを検討するとともに、セキュリティ戦略を再考することで、さまざまな脆弱性と攻撃ベクトルを無効化する最新かつ安全性を重視した設計のアーキテクチャを備えたソリューションに対応する必要があります。
特に大企業の場合、全面的な見直しには困難が伴うかもしれませんが、セキュリティ リーダーは、レジリエンスを高めるためにクラウド ファーストのソリューションへの投資を検討する必要があります。業務の中断を最小限に抑え、費用対効果を評価するためには、小さな変更を段階的に実施することをおすすめします。たとえば、安全なブラウジングのために Chrome Enterprise を使用する、特定のチームに Google Workspace を提供するなどです。
結論として、最新のテクノロジーを導入することで、あらゆる種類の脅威を排除し、ビジネス成果を向上させることができます。
ここで、モダナイゼーションによって組織が得られる価値を示す 3 件のお客様事例をご紹介します。特に攻撃の数と巧妙さが増し続ける中で、組織は変化に対応できる一元的なソリューションを必要としています。最近 Google と協力したサイバーセキュリティ企業の Trellix は、自社のセキュリティ インフラストラクチャを全面的に見直しました。
Trellix は、古いソフトウェア スタックに行き詰まりを感じ、新たな業務や開発作業と連携できていないという問題に直面していました。これらの古いソリューションでは、データの保存場所とアクセス権を持つユーザーの管理が困難でした。その後、Google Workspace に完全に移行すると、同社は組み込みのゼロトラスト機能を導入し、セキュリティ運用コンソール、メール セキュリティ、エンドポイント保護といった独自のセキュリティ ソリューションによって補強しました。
現在では、従業員がセキュリティやアクセス許可を気にすることなく、好きなデバイスからチャット、メール、ファイルの閲覧、ドキュメントの編集、会議への参加を行っています。これらの機能はすべて同じプラットフォームで提供されるため、セキュリティ管理者は Workspace のエンドポイント管理やゼロトラスト アクセス制御などの機能によって、従業員のコラボレーションを妨げることなく、より簡単かつシンプルな方法でデータの安全性を監視できるようになりました。
同様に、ミシガン州ディアボーン市も以前のメール ソリューションから移行しました。Gmail に切り替えると、ユーザーが目にする迷惑メール、フィッシング、マルウェアは明らかに減少し、サイバーセキュリティのリスクを軽減できました。
Humana の悩みは、以前のデスクトップ ベースのオフィス アプリケーション スイートのメンテナンスに IT チームが業務時間の 70% を費やしていることでした。Humana の IT チームは、現場とオフィスで働く従業員 13,000 人に Google Workspace を 4 か月で展開し、22 TB のデータを移行しました。Workspace の組み込みのセキュリティ機能とブラウザベースのアプリにより、IT チームは時間を節約してコストを削減できたほか、展開中および展開後のヘルプデスクへの問い合わせ件数も着実に減少しました。
結論として、最新のテクノロジーを導入することで、あらゆる種類の脅威を排除し、ビジネス成果を向上させることができます。セキュリティ対策を増やすだけではうまくいかない理由について、ぜひ Google Workspace レポートの全文をお読みください。
Google Cloud の専門家によるリーダーシップの詳細なガイダンスについては、CISO インサイト ハブをご覧ください。
その他の最新情報
セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。
- 防御側の優位性を明らかにする次回の Security Talks に参加: 次回の Security Talks は 11 月 19 日に開催され、防御側の優位性をテーマに取り上げます。この 1 日間の無料バーチャル イベントは、クラウド環境をプロアクティブに保護するための知見や戦略満載でお届けします。今すぐご登録ください。
- 主要な 5 つのサイバーリスク: 取締役会全体で把握しておくべきこと: 取締役会はセキュリティ、デジタル トランスフォーメーションについて学習し、自分たちの組織をよりよい形で管理できるようにする必要があります。取締役会が把握しておくべき 5 つの主要なリスクと取っておくべき事前対策についてご紹介します。詳細はこちら。
- Google Cloud での MFA の必須化について知っておくべきこと: お客様のセキュリティを確保するため、2025 年より Google Cloud へのアクセス時に MFA の使用が必須化されます。詳細はこちら。
- Google Cloud の CVE プログラムを拡大: Google のプロダクトやサービスで発見された脆弱性に対するセキュリティと透明性への取り組みの一環として、Google Cloud の重大な脆弱性について CVE を発行することになりました。詳細はこちら。
- Forecast 2025 レポート: Forecast 2025 レポートを公開しました。来年のサイバーセキュリティに向けた準備にご活用ください。詳細はこちら。
- AI からゼロトラストまで、Google Cloud Security が提供する包括的な公共部門向けソリューション: Google Cloud Security は、政府機関の防御力強化の支援に取り組んでおり、先日開催された Google Public Sector Summit で複数の発表を行いました。詳細はこちら。
- クラウドでの開発で FedRAMP High 認証を取得: Cloud Workstations でコードを作成: Forrester Total Economic Impact™(TEI)調査では、Google Cloud Workstations を使用することで、費用とリスクを削減すると同時に、整合性、アジリティ、セキュリティを強化できることが明らかになりました。詳細はこちら。
今月公開されたその他のセキュリティ関連のストーリーについては、Google Cloud 公式ブログをご覧ください。
脅威インテリジェンスに関するニュース
- 乗っ取りの手法: Intune の権限を悪用したラテラル ムーブメントと権限昇格: Mandiant のレッドチームが、お客様のオンプレミス環境から Microsoft Entra ID テナントにラテラル ムーブメントで侵入し、テナントにインストールされている既存の Entra ID サービス プリンシパルを侵害するための権限を取得した手法をご紹介します。防御方法も併せてご確認ください。詳細はこちら。
- Flare-On 11 Challenge のソリューション: 最新の Flare-On Challenge は意外な結果に終わりました。挑戦者 5,300 人中、全 10 ステージをクリアしたのはわずか 275 人でした。詳細はこちら。
今月公開されたその他の脅威インテリジェンス関連の記事については、Google Cloud 公式ブログをご覧ください。
Google Cloud Security および Mandiant のポッドキャスト
- 生成 AI のセキュリティ: 見えない攻撃対象領域と侵入テストからの教訓: 生成 AI のセキュリティの現状はどうなっているのでしょうか。ポッドキャストのホストを務める Anton Chuvakin と Tim Peacock が、SplxAI の共同創設者兼 CTO、Ante Gojsalic 氏とともに、よくある間違いから新しい攻撃対象領域、固有の課題まで、今日の生成 AI のセキュリティに関する懸念事項と将来のテクノロジーへの潜在的な影響について議論します。ポッドキャストを聴く。
- SIEM とセキュリティ データレイクに関する Google Security Operations の見解: 分離型 SIEM の概要と重要な理由: Google Cloud の Security Operations エンジニアリング部門でテクニカル リードを統括する Travis Lanham が、Anton と Tim と一緒に SIEM について深く掘り下げます。ポッドキャストを聴く。
月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターに登録してください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。
ー Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables
ー Workspace セキュリティ、プロダクト管理ディレクター Andy Wen
