適切なクラウドセキュリティプロバイダーを選ぶには: クラウドセキュリティに絶対必要な 5 項目
クラウド環境を長期にわたり保護するには、自組織のニーズと一致した優先事項のあるセキュリティパートナーを選択する必要があります。 大切なポイントをご紹介します。
マルチクラウド環境やハイブリッド環境の採用に伴って、導入環境のセキュリティの確保も複雑さを増しています。 しかし、見落とされるリスクは、攻撃者だけに起因するものではありません。 ユーザー組織と優先項目が相反する セキュリティプロバイダーを選択することも、リスクを招く可能性があります。 最良のクラウドセキュリティプログラムは、独立性、透明性、そして自組織のセキュリティニーズに沿った優先項目に基づいて築かれるものです。 適切なセキュリティプロバイダーを選択し、組織とクラウド戦略を長期にわたって保護するための 5 つの重要な考慮事項を紹介します。
1. 抑制と均衡は不可欠
クラウドセキュリティプロバイダーは、ユーザー組織の第二の目であるべきものであり、組織のインフラの責任を担う事業体と同一であるべきではありません。 組織にクラウドを提供するプロバイダーが組織のセキュリティベンダーでもある場合、重要な抑制と均衡が失われてしまいます。 いかなる企業も、自らを取り締まる使命を負った場合、完全に公平ではありえないからです。リスクの見過ごしを確実になくすには、セキュリティをインフラから切り離さなければなりません。なぜなら、セキュリティはクラウドサービスプロバイダーの製品ロードマップや収益モデル、戦略的優先事項と対立するものだからです。
2. 可視性は力なり — 誰にそれを与えるかは慎重に
多くのセキュリティベンダーは、顧客の設定内容や脆弱性、さらにはさまざまなクラウドサービスの利用方法に関するメタデータなど、あらゆるものを見ています。 その可視性は保護のためには必要ですが、間違った使い方をされると競争の武器になりかねません。 自問してみてください。このベンダーには、当社の運用方法を知ることで利益を得る事業部門が他にないだろうか、たとえば、クラウドインフラ、データサービス、AI/機械学習プラットフォームなどで競合していないだろうか、と。 クラウドセキュリティプロバイダーは、顧客の保護に専念すべきであり、顧客へのアップセルを目的とした営業戦略に活用されうる情報の収集は避けるべきです。
3. 優先項目は変動する — ユーザー組織の優先事項は今後も重視されるのか
多くのクラウドセキュリティプラットフォームは、広範なマルチクラウド環境のサポートを約束していますが、その優先度は固定されていません。将来の製品開発が特定のクラウド環境に傾いた場合、どうなるのでしょうか。 御社が優先したいプラットフォームとの統合が遅れることになるのでしょうか。 サポートや機能強化において、特定のクラウドを優遇するようになるのでしょうか。 企業目標の変化に伴ってロードマップが変更される恐れがあるパートナーではなく、御社のニーズに沿ったロードマップを持つパートナーを選びましょう。
4. ポータビリティを視野に入れて計画する — 罠にはまらないように
クラウドは動的であり、組織にとって変化というものは難しく、コストがかかるものです。 顧客を特定のクラウドエコシステムに縛り付けたり、ビジネスの進化に合わせて適応するのにコストが高くなるようにするベンダーと契約すべきではありません。 最良のパートナーは柔軟に対応してくれます。 そして、セキュリティ態勢や予算を危険にさらすことなく、クラウドプロバイダーの拡張、移行、変更を容易に行えるようにしてくれます。
5. クラウドの保護は、単なる「クラウドセキュリティ」にあらず
クラウドセキュリティだけに重点を置いたソリューションの時代は終わろうとしています。 セキュリティの脅威が進化し続ける中、目指すべきものは、組織のあらゆる側面にわたってビジネスリスクを理解するサイバーエクスポージャー管理です。 どのようなセキュリティ製品を採用するにしても、より広範なサイバーエクスポージャー管理戦略に適合するための十分な柔軟性が必要です。 さらに、ほとんどの大規模組織はハイブリッドクラウド環境を運用しているため、アタックサーフェス全体を可視化する必要があります。 攻撃者が境界に縛られないことは周知の事実でしょう。クラウドからオペレーショナルテクノロジー、顧客などに至るまでのすべての基盤を保護対象とする必要があります。
適切なクラウドセキュリティプロバイダーとは
クラウドセキュリティベンダーを評価する際には、以下のようなベンダーを優先してください。
- あらゆるクラウドに対応できる — クラウドプロバイダーの子会社などでなく、その影響下にないこと
- インフラの販売ではなく、セキュリティを専業としていること
- 実績を積んだ研究とセキュリティのイノベーターであること
- マルチクラウド環境とハイブリッド環境の保護機能を同等に備えていること
- 製品のロードマップや優先項目について透明性があること
- 長期的な柔軟性と制御を確約していること
クラウドセキュリティは、自組織の優先事項と完全に整合していない企業に託すには、あまりにも重要すぎます。 独立性と中立性が選択肢です。御社のクラウド戦略が次にどこへ進もうとも、御社を守ることだけを任務とするパートナーを選んでください。
Shai Morag
Tenable 最高製品責任者
Shai Morag は Tenable の最高製品責任者であり、Ermetic 社では共同創立者として CEO を務めていました。 Shai は、2023 年の Tenable による Ermetic 買収までに培った 25 年の製品管理、テクノロジーリーダーシップ、上級幹部の経験を Tenable 最高製品責任者の職に活かしています。 Ermetic 以前はサイバーセキュリティ会社 Secdo の共同創立者として CEO を務め、創業からわずか 3 年で Palo Alto Networks による買収へと導きました。 その前にはコネクティビティ、ネットワーク、セキュリティソリューションを専門とした Integrity-Project 社の CEO を務め、事業を著しく成長させ、Mellanox による買収を成功させました。 また、イスラエル国防軍 Intelligence Corps Unit 8200 の役員を 10 年間努め、さまざまな管理、製品開発職に携わり、その貢献が国内の数々の賞によって認められています。 Shai は技術系人材育成のエリートプログラム、タルピオットの卒業生で、テルアビブ大学で MBA を取得しています。
関連記事
Tenable Jailbreaks GPT-5, Gets It To Generate Dangerous Info Despite OpenAI’s New Safety Tech
Within just 24 hours of the release of OpenAI’s GPT-5, Tenable Research successfully managed to jailbreak the model by getting it to share detailed instructions for how to build an explosive. Our finding is concerning, given that OpenAI described GPT-5's prompt safety technology as significantly mor...
Cybersecurity Snapshot: CISA Analyzes Malware Used in SharePoint Attacks, as U.K. Boosts Cyber Assessment Framework
Check out what CISA found after it dissected malware from the latest SharePoint hacks. Plus, the U.K.’s cyber agency is overhauling its cyber framework to keep pace as threats escalate. In addition, CISA is sounding the alarm on a high-severity vulnerability impacting hybrid Exchange environments. A...
We're a Major Player in the 2025 IDC MarketScape for CNAPP. Here's Why That Matters for Your Cloud Security.
"With a strong focus on CNAPP through Tenable Cloud Security and exposure management with Tenable One, Tenable provides visibility and control over hybrid attack surfaces, including on-premises, cloud, and hybrid environments,” according to the report....
- Cloud
- Cloud