セキュリティプロフェッショナルはセキュリティの透明性の強化を求めている
2021年3月17日、Mike Vizard
ようやく、実装されているセキュリティのレベルがIT製品およびサービスを選択するための主要な基準になりつつあります。今週インテルが発表した1,875人のセキュリティプロフェッショナルを対象に実施したグローバル調査の結果によると、回答者の73%は脆弱性を予防的に検出、軽減、および報告するテクノロジプロバイダからテクノロジとサービスを購入する可能性が高いです。
残念ながら、回答者の約半数(48%)は、現在のテクノロジプロバイダが、このような機能を提供していないと述べています。
Ponemon Instituteが実施した上記の調査は最新世代のプロセッサに実装されているセキュリティ機能をさらに使用する必要があるというインテルの主張を裏付けることを目的としています。回答者の3分の2(66%)は、テクノロジプロバイダが、ソフトウェア脆弱性の悪用を軽減するハードウェア支援機能を提供することが非常に重要であると述べています。
Ponemon Instituteの会長であるLarry Ponemonはセキュリティを確保および維持する方法に関する透明性の強化を求める企業が増加していることは明らかであると述べています。回答者の約3分の2(64%)は、テクノロジプロバイダが、提供しているセキュリティ更新と対策に関する透明性を確保することが非常に重要であると述べています。回答者の約半数(47%)は、テクノロジプロバイダが、必要なレベルの透明性を確保していないと述べています。
回答者の約4分の3(71%)は、テクノロジプロバイダが、継続的なセキュリティ保証、およびコンポーネントが既知の信頼できる状態で動作していることを示す証拠を提供することが非常に重要であると述べています。また、74%は、テクノロジプロバイダが、倫理的なハッキング手法を適用して、製品の脆弱性を予防的に検出し、脆弱性に対処することが非常に重要であると述べています。
透明性を優先する
具体的には、インテルはベンダに下記を求めることをIT企業に推奨しています。
- 提供しているセキュリティ更新と対策に関する透明性を確保する。
- 製品の脆弱性を検出および軽減する。
- 継続的なセキュリティ保証、およびコンポーネントが既知の信頼できる状態で動作していることを示す証拠を提供する。
- 分散ワークロードと使用中のデータを保護し、ソフトウェアの悪用を防止するために、ハードウェア支援機能を有効にする。
当然、セキュリティプロフェッショナルは、ベンダが対処しない問題が最終的に自分に跳ね返ってくるため、透明性に関心を抱いています。しかし、セキュリティプロフェッショナルが直面している問題はIT製品およびサービスを選択する従業員の多くがセキュリティをそれほど理解していないことです。このような従業員は、セキュリティに関心を抱いていないのではなく、評価する必要があるセキュリティ属性を知りません。
IT製品およびサービスのプロバイダがセキュリティ要件に完全に対応する可能性は低いです。プロバイダはコスト面で常に微妙なバランスを取ろうとしています。セキュリティ機能を実装していない製品またはサービスが低価格で提供されているため、競合他社がシェアを拡大している場合は、追随したいという衝動が常にあります。もちろん、いずれにせよ、企業はセキュリティコストを負担することになります。社内のIT部門が作成する必要があるセキュリティレイヤが多ければ多いほど、最終的なセキュリティコストは高くなります。
当然、セキュリティプロフェッショナルは、後で対処する必要があるインシデントを削減する取り組みの一環として、調達トレーニングを実施することが望ましいです。もちろん、問題は、トレーニングを実施する時間を確保するだけでなく、実際に注意を払うための十分な時間を確保するように他のすべての従業員を説得することです。
原文はこちら:
IT professionals demand greater security transparency
March 17, 2021 Mike Vizard
https://blog.barracuda.com/2021/03/17/it-professionals-demand-greater-security-transparency/
