サイバーセキュリティの未来を想像する
by Canonical on 19 December 2024
2024年10月にUbuntuは20周年を迎えました。サイバーセキュリティ情勢は2004年から大きく変わりました。Ubuntuのセキュリティチームは、サイバーセキュリティ意識向上月間を記念してポッドキャストの3回シリーズを作成しました。これをフォローしている方は、業界を方向づけた重要な出来事や、自分を守るためのアドバイスなどをお聞きになっていることと思います。ベストプラクティスのいくつかは20年前とそれほど変わっていませんが、一部の技術やプロセスは耳慣れないかもしれません。
たとえば、CVEプログラムは2004年に存在していました(そして偶然にも今年の10月にこのプログラムは25周年を迎えました)。その一方で、CVD(協調的脆弱性開示)はそれほど普及していませんでした。このプロセスをNCSCが推奨し始めたのは2013年であり、現在のCNA(CVE Numbering Authorities:CVE採番機関)の半数以上は過去3年間に加わったばかりです。
時代の分岐点
これまで数多くのインシデントがセキュリティ侵害による影響の大きさを見せつけ、人々の意識を高めてきました。業界を変えた事例を1つだけ挙げることは困難ですが、2013~2014年にYahooとそのユーザーを揺るがした情報流出事件を忘れる関係者は少ないでしょう。おそらく史上最大規模のデータ侵害であり、パスワードが認証技術としてどれほど脆弱であるかを浮き彫りにしました。影響を受けた人々は、自分のオンラインのIDがどのように悪用される可能性があるのかを思い知らされました。
情勢の変化
それ以降、セキュリティ専門家は、世界中の人々にオンラインの脅威を強く訴えてきました。Canonicalは、堅牢で、包括的で、使いやすいツールを共同開発し、数学的な厳密性でこの領域を形づくっています。人に優しいパスキーは、さきほどのYahoo事件のようなパスワードデータの侵害の影響を軽減すると同時に、エンドユーザーの使い勝手も改善します。コンテナ化されたアプリケーションから、AppArmorなどのLinuxセキュリティモジュールを通じたきめ細かいアクセス制御まで、数多くの技術が、ボタンをクリックすることによって保護を提供します。規模の大小を問わず、企業はCIS Critical Security Controls、NISTのCybersecurity Framework、ISO 27001、カード決済業界のPCI DSSなど、適切に定義され、柔軟性も兼ね備えたセキュリティフレームワークと標準規格を利用できます。包括的なテーマはデフォルトでセキュリティを提供することであり、Ubuntuでは、慎重に設計されたディストリビューション、信頼できるセキュリティパッチ、そしてここで言及しきれないほど多くの機能に変換しています。
根本的に変わっていないことは、サイバーセキュリティは解決された問題ではないという点です。犯罪の標的であるユーザーへの負担が続く限り、当社のセキュリティの目標は達成されていません。当社の目標は、一般の人々向けのセキュリティがあらゆる製品に直感的で内在しているものにすることだけではなく、人々が意識する必要のないものにすることでもあります。
未来への期待
Ubuntuは、人間のための(アフリカの言語でUbuntuは人間性や他者への思いやりを意味する)Linuxとして考案され、多くのユーザーに無料でソフトウェアを届けることを目的としたディストリビューションでした。Ubuntuは、ユーザーが容易にセキュリティを確保し、安全なオープンソースの世界にアクセスするプラットフォームとして、現在もその理念を忠実に守っています。2023年にUbuntu Proの一般提供を開始したことにより、公開されるCVEのリストが拡大を続け、Ubuntuにさらなるセキュリティ修正が加えられています。Canonicalの未来は明るく広がっています。authdを通じたクラウドベースのIDプロバイダーとのインターフェースによってユーザープロンプトやワークステーション認証をデスクトップ環境にシームレスに統合しているAppArmorのプレビューをご覧になったことがあるかもしれません。これらはほんの一例であり、10月31日に公開される当社のポッドキャストシリーズの第3回では、今後の技術について詳しく説明します。
もしも私が水晶の玉を持っていたら、セキュリティが意識することなく内在し、ソフトウェアエンジニアからアーティスト、ビジネスリーダーまで、人々がサイバー犯罪を心配することなく、自信を持って創造的にイノベーションに取り組める未来を思い描くでしょう。10月18日のポッドキャストで、私はセキュリティ技術は魔法ではないと話しました。しかし、大半の人々が魔法とセキュリティを区別し、人間のためのサイバーセキュリティがある世界は、それほど悪くないのかもしれません。
ニュースレターのサインアップ
関連記事
アプリケーションセキュリティ(AppSec)とは?
サイバーセキュリティの世界は変わりました。サイバー攻撃、マルウェア、ランサムウェアのリスク増大に加え、新しいサイバーセキュリティ規制の圧力、情報漏洩や違反にかかる高額の罰金により、もはやアプリケーションセキュリティ(AppSec)は必須です。 このブログ記事では、このような課題に対処し、基本的なセキュリティ対策を中心として業務やシステムを守る方法を紹介します。AppSecの概要と利点、AppSecの設計と実装に取り組む方法を説明した後、セキュリティに関するCanonicalチームのアドバイスとAppSecのベストプラクティスを検討しましょう。 AppSecとは アプリケーションセキュリティ(略してAppSec)とは、アプリケーションのライフサイクルを通じて脆弱性の悪用を防 […]
ITチームの70%がセキュリティパッチの適用に6時間以上– IDCの最新調査
TL;DR(要約):IDC の新調査によると、70%以上の IT チームが週に 6 時間以上をセキュリティパッチに費やしており、多くが業務負担と感じています。Ubuntu Pro のような自動化されたセキュリティ対応が注目されています。この調査は、CVE 対応やオープンソースの脆弱性管理にも言及しており、Ubuntu Pro の価値が改めて浮き彫りになりました。 ———————————————————————————————————————————— CanonicalとIDC(International Data Corporation)社による最新の調査結果:企業はCVE(共通脆弱性識別子)パッチ適用の指令に従った修正の適用に苦労し、オープンソースサプライチェーンにお […]
脆弱性を見つける方法
脆弱性の評価を行う方法 情報セキュリティの世界は専門用語だらけです。脆弱性関連の用語を見たことがある方ならご存じでしょう。さらに厄介なのは、複数の用語が同じ意味に使用されたり、コンピューター以外の分野で使用される用語が混じっていたりすることです。これは、脆弱性の評価について学びたいと考えている人にとって混乱の元です。ですからこのブログ記事では、Ubuntu環境の脆弱性評価について掘り下げる前に、用語の意味を解説します。 脆弱性とは 脆弱性とは、攻撃者による悪用やユーザーのミスによって損害を引き起こす可能性のあるすべての欠陥です。リスク管理において脆弱性は、脅威の可能性を高める、または攻撃が成功したときの損失を増やす、あるいはその両方によって、リスクを増大させます。 サイバ […]
