歩きながら 今週、大規模なボストン コンベンション センターのホール AWS re:Inforce部門の年次セキュリティ イベントで、私は多くのベンダーと話をしましたが、1 つのテーマが明確でした。
そのアイデアはしばらく前からありましたが、今週、さまざまな AWS セキュリティ エグゼクティブがイベントの基調講演でそれについて話しているのを聞いたとき、そしてその週に行ったその後の会話を通して、特に心に響きました。
非常に高いレベルでは、クラウド ベンダーがセキュリティの第 1 レベルの責任を負います。 運営するデータセンターは、管理できる範囲で安全であることを確認する必要があります。 しかし、ある時点で、会社と顧客の間に灰色の領域があります。 確かに、ベンダーはデータセンターを保護できますが、理由が何であれ、顧客が S3 バケットを公開したままにしておくことはできません。
セキュリティは非常に複雑な作業であるため、システムの安全性を維持する責任を 1 つのエンティティで負うことはできません。特に、あらゆるレベルのユーザー エラーにより、巧妙なハッカーに対してシステムが脆弱になる可能性がある場合はなおさらです。 組織のあらゆるレベルで、顧客や関係する第三者とのコミュニケーション チャネルが必要です。
Log4J の脆弱性や Solarwinds のエクスプロイトなどの外部イベントがコミュニティ全体に影響を与える場合、それは 1 つのベンダーの問題ではありません。 みんなの問題です。
問題が発生したときに全員がコミュニケーションを取り、ベスト プラクティスを共有し、セキュリティ イベントを防止または軽減するために可能な限りコミュニティとして結集する必要があるという考えです。