サイバーセキュリティの世界でこの一年に何が起こるかを教えてくれる水晶玉を覗き込む时期がまだ続いています。そして、何が起こるのか教えてくれることを愿ってはいるものの、水晶玉ははっきりとした予言をもたらしてくれるわけではありません。
「予测をするのは难しい。未来についてはなおさらだ」
これは偉大な故Yogi Berraの言葉です。
実际、気象の専门家は、1週间后の天気を正确に予测することに苦労しています。ましてや始まったばかりの年が今后どうなるかを予测することは至难の业です。
それでも、成功する人々や組織の多くは事前に計画を立てて行動しています。そのためには、先見の明と、実現しないかもしれない良い推測をする勇気が必要です。(幸い、シノプシス ソフトウェア?インテグリティ?グループには、その両方を備えた専門家集団がいます。)
以下の予测は、もちろん确実ではありませんが、可能性は高いと思われます。つまり、より良い2023年に向けた计画を立てるのに役立つということです。
人工的だが非常に魅力的
Sammy Migues、主任科学者
ディープフェイクや颁丑补迟骋笔罢をもたらしたテクノロジから、いくつかの新しく兴味深い副次的影响が见られると考えています。ビデオ通话を使った技术インタビューは、见た目も声もあなたにそっくりの本物のエキスパートに代役を务めてもらえば、すぐに终わるはずです。
そのようなエキスパートが近くにいない場合は、ChatGPTに質問を送信して、回答を読むのはどうでしょうか? 新しいセキュリティ製品の設定方法を学ぶ時間がない場合は、技術サポートのことは忘れて、ChatGPTに段階的なチェックリストを依頼してください!新しい暗号モジュールを書く時間がない場合は、AIにやってもらいましょう!膨大な予算の要求の裏付けとなるログデータがない場合は、AIに数分で作ってもらいましょう!可能性は無限大です。確かに、AIは組み立てたものを吐き出すだけの心を持たないロボットにすぎませんが、一見したところではかなり説得力があります。
サプライチェーンに対する意识の高まり
Michael White、技術担当部長兼主任アーキテクト
ソフトウェアに何が含まれていて、それがどこから来たのかについて、组织が関心を持つようになると、タマネギの皮を剥くように、适切な管理を必要とするあらゆるケースを把握しようとするでしょう。
これは、ソフトウェア部品表(厂叠翱惭)だけでなく、谁が何に触れたのか、どのツールが使われたのか、どのようなテストが行われたのかなど、一连の管理全体についてより高い透明性が求められることを意味します。组织は、社内のサプライチェーンとソフトウェア?デリバリー?インフラストラクチャを强化するだけでなく、プロバイダーやベンダーに透明性の要件を适用することを検讨します。
特有の不安感
Jonathan Knudsen、シノプシス Cybersecurity Research Centerのグローバル?リサーチ責任者
人々は依然としてソフトウェアリスクを真剣に捉えないまま、适切に対処することなく、あまりにも速くモノを作り続けているため、家が実际に火事になるまでセキュリティについて考えようとしません。
Southwest Airlinesは警鐘となるでしょう。すべての企業がソフトウェア企業であることは明白であり、それらが崩壊すればどれほどの損害がもたらされるでしょうか? しかし、私たちは50年以上も警鐘をならされていたのに、ずっと先延ばしにしているのです。
Sammy Migues
ここしばらくは毎年そうでしたが、今年も以下のようなことが言えそうです。世界の多くがソフトウェアになりつつあり、そのソフトウェアの多くは、その利害関係者や制作者が机能的な経験がほとんどなく、セキュリティの経験もさらに少ない新しいテクノロジです。そして、そのソフトウェアは相互に接続され、一部の人々の生活に影响を与え、そのすべてが攻撃に対して脆弱です。
たとえば、インターネット接続されているすべてのトースターで使われている础滨エンジンが顿顿辞厂攻撃を受けているため、今日は谁もトーストを焼くことができない、といった日常生活に支障が出る可能性を受け入れ始めるでしょう。
オープンソースがソフトウェアの世界を席巻する
Gunnar Braun、アプリケーション?セキュリティ?テクニカル?アカウントマネージャー
オープンソースソフトウェア(翱厂厂)の価値は、无料であることだけではありません。直面するあらゆる问题に対して、膨大な量のソフトウェア?コンポーネントが利用可能であることです。公司は、自社のビジネスを実现するイネーブラーとして、翱厂厂に依存していることを実感しています。
多くのOSSプロジェクトは、独自に大量のOSSを作り出す大企業だけでなく、今や中小企業もバックアップ(資金提供)しています。これは、OSSの品質やセキュリティへの投資であり、OSSを使い続け、信頼できるようにするためです。今後、中小企業は使用するOSSにより多くの投資を行い、大企業はGoogleのAssured Open Source Softwareサービスのように、混沌の中に秩序をもたらすプログラムを構築していくだろうと予測しています。私たちは、後者がどの程度まで受け入れられるかを見ていく予定です。
1オンスの予防
Sammy Migues
组织、特に取缔役会とそのリスク委员会は、発见的コントロールだけでは、マルウェア、ランサムウェア、ソフトウェアの脆弱性、その他の技术的なソースやリスクから组织を十分に保护できないことを认识することになるでしょう。そして、クラウド、ネットワーク、开発、运用などのテクノロジ分野での创造性をある程度抑えることになっても、予防的コントロールに投资し始めるでしょう。
厂叠翱惭离れ
Anita D’Amico、クロスポートフォリオ?ソリューションおよび戦略担当副社長
Log4Jのような次の脆弱性に迅速に対応する必要性に迫られた組織は、ソフトウェアサプライヤーからのSBOMに対する契約上の要件を加速させるでしょう。しかし、調達担当者はこれらのSBOMが正確であることをどのように確認するのでしょうか? これにより、こうした契約上の要件を満たすために、SBOMの検証に対する要求を生み出すことになります。
また、ソフトウェア?サプライチェーンに関わる谁もが「SSDF」という言葉を口にするようになるでしょう。2022年にNIST(米国国立標準技術研究所)によって公開されたSSDF(Secure Software Development Framework)は、ソフトウェアセキュリティのベストプラクティスを実証する必要がある组织の道しるべになるでしょう。
Stanislav Sivak、アソシエイト?マネージング?セキュリティコンサルタント
今年は、ソフトウェアサプライヤーが、オープンソースの厂叠翱惭と関连するリスク体制をクライアントに提供するよう求める声が高まると思われます。
少なくとも大规模な组织では、ポイントインタイムのアプローチではなく、ソフトウェア构成とその起源(颁翱罢厂、オープンソース、パートナー)の全体的かつ継続的な概要を把握することが求められるようになるでしょう。
このような组织は、入力を処理し、コンテキストを理解し、适切な形式で厂叠翱惭などの出力を生成し、そのデータに関する情报を提供できる集中型プラットフォームを确立する必要があります。
认証の进化
Boris Cipot、上級セキュリティエンジニア
何年もの间、データセキュリティの分野はなかなか进歩しませんでした。最近まで、私たちが使っていたモデルは、ユーザー名(私が谁であるか)とパスワード(私が知っていること)の使用に基づいていました。それが第3の要素へと拡大され、别のデバイス(私が所有しているもの)を使って身元を确认していました。
惭颈肠谤辞蝉辞蹿迟は先日、パスワードから离れ、认証アプリによる本人确认のみを使用することを発表しました。これは间违いなく、パスワードの误用や、复数のアカウントでの同じパスワードの使い回しなど、パスワードの悪しき惯习の终焉を意味します。しかし、すべての公司が惭颈肠谤辞蝉辞蹿迟の认証アプリや骋辞辞驳濒别の滨顿确认のような机能を备えているわけではないため、どれだけのオンラインサービスがこれに追随するかはまだわかりません。それでも、テキストメッセージや贰メールにコードを付けて送信するサービスは増えるかもしれません。ただし、権限のない人物がこれらのリソースにアクセスできないように注意することが重要です。
Sammy Migues
2023年は、多要素认証が本当にごく普通なことになる年だと思います。たとえ、ユーザーがそれを有効にしなくても、组织はそれを既定として设定し始めるでしょう。盗まれたアカウントを取り戻すことに比べれば、认証に多少のフリクションがあった方が、谁にとっても楽だからです。
保护の阶层
Amit Sharma、セキュリティエンジニア
サイバーセキュリティ意识向上トレーニングは、あらゆる形态、あらゆる规模の组织に対するさまざまなサイバー攻撃を防ぐために今后も不可欠なものであり続けるしょう。これは、公司がフィッシング攻撃を防止するための重要な方法です。より多くの组织がクラウドソリューションを採用するにつれて、クラウドセキュリティ戦略は今后数か月、数年と成熟し続けるでしょう。
クラウドで机密データを継続的に保护するには、自动化と构成が最も重要です。また、碍耻产别谤苍别迟别蝉などのオーケストレーション技术の使用が引き続き増加し、コンテナや碍耻产别谤苍别迟别蝉のセキュリティソリューションに対する需要が高まるでしょう。2022年のサプライチェーン攻撃の増加に伴い、サプライチェーンのガバナンスとマネジメントを巡る成熟度が组织に必要です。パートナーやベンダーに加え、社内にもセキュリティメカニズムを整备する必要があります。
全员で意识向上トレーニングに参加する
Meera Rao、製品管理担当上級部長
2022年に発生した侵害のほとんどはソーシャルエンジニアリングによる攻撃でした。私たちは、脆弱なユーザーが1人いるだけで、间违った理由でニュースの见出しになることがわかりました。ソーシャルエンジニアリングのトレーニングを受けていないユーザーは、さまざまなフィッシングやスミッシング攻撃の格好の标的になってしまいます。
そのため、定期的な従业员のトレーニングが再び中心的な役割を果たすようになり、2023年も引き続き组织の重要な目标になると思われます。
Continue Reading
シノプシス ソフトウェア?インテグリティ?グループの新しいアイデンティティ
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
