2023 年が終わりに近づく中、今年 1 年のセキュリティ動向を振り返り、テクノロジー、ID、デジタルトラストの未来を大胆に予測してみましょう。
2023 年は AI(人工知能)のニュースで持ちきりでした。最近の調査では、回答者の 81% が ChatGPT や生成 AI のセキュリティリスクが心配だと回答しています。来年のセキュリティトレンドの主役が AI であり、量子コンピュータと並んでサイバーセキュリティ戦略を変革する 2 大重要課題となるのは言うまでもないでしょう。
では、2024 年の展望に影響を与えるその他のトレンドには何があるのでしょうか。弊社のサイバーセキュリティ専門家チームのAvesta Hojjati、Dean Coclin、Lorie Groth、 Brian Trzupek 、Tim Hollebeek が今後の展望を語ります。
最近 Ponemon Institute が実施した調査によれば、大半の IT 幹部が HNDL(Harvest Now, Decrypt Later: 今収集し後で解読)型サイバー攻撃のリスクに頭を悩ましている一方で、経営幹部の多くは量子コンピュータがもたらす影響を未だ認識していないことが明らかになりました。また、同調査によれば、PQC(Post-Quantum Cryptography:耐量子コンピューター暗号)対策に向けた責任の所在、予算、戦略を明確にしていない組織が大多数でした。一歩先を見据えた、効果的な意思疎通を図ることが重要です。
2024 年には、PQC に関する啓発および計画立案が進み、この分野への投資が加速するでしょう。各社が PQC に関するポリシーの導入開始に向けて積極的に動くことが予想されます。2 月には、米国商務省標準化技術研究所(NIST)から最終版の規格が発表される見込みです。これによって企業は耐量子コンピューター戦略と暗号の俊敏性に対するアプローチを検討し、文書化し、規定する必要に迫られるでしょう。その中でも最も重要なステップの 1 つは証明書管理プラットフォームおよび検知体制へのシフトであると考えられます。
eIDAS 規則は長年にわたり、EU における電子認証とトラストサービスのガバナンスにおいて重要な役割を果たしてきました。新規制では、QWAC(Qualified Website Authentication Certificates: ウェブサイト認証の為の適格証明書)がより重視されるようになり、ブラウザの目立つ場所に QWAC の情報を分かりやすく表示することが義務付けられます。
各ブラウザが法律で義務付けられた QWAC の特別な表示の導入を開始することが予測されます。これは大きな変革です。なぜなら、小売業者や政府や金融機関がIDが表示されることの価値を認識し、QWAC 証明書 が表示されてる事業者とのみ取引をするように顧客に推奨するようになるためです。
EU のこうした動きは世界のトレンドにも影響を与えます。認証済みの IDは、コンテンツの出自と真正性を信用する際の根幹となります。企業は、追加の証拠チェックを必要とせずにワンタイムでデジタル ID を確立する方法を模索し始めるはずです。
米国の次期大統領選挙シーズンには、コンテンツの真正性の問題が最重要課題になると予想されます。
昨年の予測では、世間を騒がせたソフトウェアサプライチェーン攻撃を受け、「ソフトウェアサプライチェーンに情報と可視性をもたらすため、2023 年には ソフトウェア部品表(SBOM)が広く普及する」と述べました。来年は、さまざまなデリバリーポイントで検査が行われるようになり、ソフトウェアサプライチェーン(SSC)の堅牢化がさらに進むでしょう。SBOM が普及することで、組み込みソフトウェアの構成の透明性はさらに高まります。
サプライチェーンのハードウェア側では、特定の地域で製造されたハードウェア部品にマルウェアが仕込まれるケースが多発すると予測されます。デジタルカメラ、モデム、ノート PC のマイクロコントローラなどのデバイスにマルウェアを仕込むことは、悪意のある攻撃者がサプライチェーン全体を危殆化するのに容易な方法です。メーカーは、ゼロデイセキュリティに対応するため、チップセットやその他の部品について「トラスト・バイ・バース(製造時から組み込まれた信頼性)」および「セキュリティ・バイ・デザイン(設計によるセキュリティ)」のアプローチを取ることをサプライヤーに求めはじめるでしょう。
世界中でモバイル化が進み、動きが活発化するにつれ、デバイスのセキュリティの重要性はかつてなく高まっています。個人の ID がスマートフォンその他のデバイスと頻繁に結び付けられるようになった現在、ID の基点はデバイスごと、個人ごとに特別に調整される必要があり、そのすべてが信頼性の下で保護される必要があります。
今後は、ID および操作チェックを通して保護され、真正性が確認されるデバイスが増加していくでしょう。そうすれば、人々はそのデバイスが改ざんされにくく、情報が安全に保護されているという安心感を持って、日々の活動をサポートするデバイスを利用できるようになります。IoT の信頼性レベルが向上することで、電気自動車の充電器や医療機器などの特に取り扱いに注意を要するIoT 活用例が増えてゆくでしょう。
2023 年は、侵入検知および防止システムなどの防御ソリューションへの AI の活用について、よく耳にしました。しかし、2024 年にはこの状況は一転し、AI は攻撃対象領域に多く利用されるようになるでしょう。攻撃者は AI の機能を利用して攻撃の地ならしを行い、個人や企業について学習してから、そのデータを元に AI ベースの攻撃を展開するようになります。現代の技術を使えば、悪意のある攻撃者は、LinkedIn やその他のオンラインソースから基本的なデータを引き出し、マネージャーになりすまして電話をかけ、組織のパスワードをリセットしたりするなどの悪質な行為を実行できてしまいます。
検索に基づいてその場でサイトを生成する機能は、合法的な活動にも有害な活動にも利用できます。AI および生成 AI の探索能力が成熟するにつれ、ウェブサイトが力ずくで乗っ取られるリスクは高まります。この技術が普及すれば、組織はウェブサイト上の情報をコントロールできなくなる可能性があります。その一方で、検索結果を表示するのと同じスピード感でページを作成、構築、レンダリングできる AI の能力により、偽のページ上の悪質な内容は本物と見分けがつかないほど精巧になるでしょう。
PQC と同様、経営陣は AI の脅威に対抗し、一般公開ウェブサイトやその他の重要な資産の信頼を確保するための戦略を策定する必要があります。
2022 年デジタルトラストの実態調査のレポートによれば、99% の企業が顧客が自社への信頼を無くした場合、競合他社に乗り換える可能性があると思っています。デジタルトランスフォーメーションで信頼性が果たす役割を考慮し、セキュリティプロトコルを近代化し、従来のネットワークという枠組みを超えて個人のアイデンティティも対象にしようとする企業が増えています。これは、事業基盤の強化と顧客維持の基本的要素になると考えられます。しかしながら、その方向性はトップが打ち出す必要があるため、執行部に最高デジタルトラスト責任者(DTO)の席が必要となります。
DTO は、組織のデジタル的な資産および能力が組織のパートナーや顧客から信頼されるようにすることに責任を持ちます。DTO の重要な仕事は、組織のデジタルプレゼンスを安全で信頼できるものに保ち、デジタル上のやりとりのすべてに信頼を組み込むことです。DTO 責任者を設けることで、セキュリティとコンプライアンスに対してより戦略的なアプローチを取ることが可能になるだけでなく、社内デジタルインフラストラクチャがいかに安全でセキュアであるかを自信と確信を持って伝えられるようになります。
認証マーク証明書(VMC)は数年前に実現しました。これは、Eメールにおけるソーシャルメディアのチェックマークに相当し、フィッシングやなりすましの攻撃からお客様とブランドを守るための認証およびセキュリティ要件を追加します。2024 年には、その認証機能を小規模な組織でも利用可能にする、新しいタイプの証明書が導入される予定です。VMC では商標登録が必要となりますが、マーク証明書で必要なのはオーナーが自社のロゴやマークを使用していることの証明のみです。
より手が届きやすくなったことで、商標を持たない中小企業や非営利団体にも市場が開かれます。中小企業や非営利団体もメールクライアントにロゴを適切に表示できるようになり、顧客は受け取ったメールが本当にその事業体からのものかを見分けられるようになります。この大きな前進により、認証可能な E メール体験が企業と消費者の双方にますます幅広く受け入れられるようになるでしょう。
「信頼しないで必ず検証する(Never trust, always verify)」アーキテクチャが IT、製品セキュリティ、コンシューマのエコシステムに浸透していき、これまでユーザーに暗黙の信頼を提供していたネットワークや VPN を置き換えていくと予想されます。アプリケーションとデータのやり取りに ID、完全性、暗号化を提供するため、証明書を使った認証の使用は広がり続けるでしょう。
VMC、PQC、デジタルトラストなどのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照ください。