企業がデジタルトランスフォーメーションを加速させるにつれ、サイバーセキュリティリスクは社内システムではなく、パートナー、ベンダー、サードパーティプロバイダーに起因する割合が増加しています。専門家は、分断されたサプライチェーン、クラウド導入のギャップ、そしてAIによる脅威が危険な盲点を生み出していると警告しています。.
ルーブリックの最高技術・エクスペリエンス責任者(CTxO)であるカビタ・マリアッパン氏は次のように語った。 iTNewsアジア 多くの組織では、サードパーティのエコシステムに対する可視性が不足しており、一貫性のないアクセス制御やベンダーのセキュリティ対策の弱点が未整備のままになっています。リスク管理は、継続的な監視ではなく、年次コンプライアンス調査に限定されてしまうケースが多々あります。.
クラウドへの移行は課題をさらに複雑化させています。多くの企業は、セキュリティ責任はプロバイダーのみにあると誤解しています。しかし実際には、共有責任モデルでは、特にサードパーティが関与する場合は、企業が構成、アクセス制御、そしてデータを保護する必要があることを意味します。.
生成型AI(GenAI)の台頭により、リスクはさらに高まっています。脅威アクターはAIを利用して、標的を絞ったフィッシングキャンペーンの作成、経営幹部へのなりすまし、ベンダーのサービスデスクへの不正アクセスを行っています。たとえAIが無害な形で導入されたとしても、ツールがトレーニング目的で機密情報を保存または再利用している場合、機密データが意図せず漏洩する可能性があります。.
マリアッパン氏は、回復力を強化するために、いくつかの優先事項を強調しました。
- ベンダーエコシステムマッピング: ソフトウェア部品表 (SBoM) を使用した「第 4 パーティ」依存関係も含まれます。.
- 継続的な検証: デフォルトの信頼から継続的なアクセス検証とテレメトリベースの異常検出に移行します。.
- 脅威モデルとリスクスコアリング: サードパーティ環境を介した攻撃パスをシミュレートし、リスク プロファイルを動的に更新します。.
- 回復力のある回復: 拡張サプライ チェーン全体にわたって、変更不可能なエアギャップ バックアップ、サードパーティを含むインシデント プレイブック、ゼロ トラストの適用を維持します。.
将来について、マリアッパン氏は、エージェント AI は、インシデント対応を加速する一方で、効果的に管理されなければ新たなリスクをもたらす可能性がある最先端のテクノロジーであると指摘しました。.
“「もはや、脆弱なリンクを特定するだけでは不十分です」と彼女は述べた。「サプライチェーンを通じて攻撃がどのように広がるかをモデル化し、被害が発生する前に対処する必要があります。」”
ソース:
