今年も終盤に向かいつつありますが、2021 年を通して具体的になった不確定要素の多くはまだそのまま残り続けています。自宅とオフィスの併用によるハイブリッド型の勤務形態がライフスタイルとして浸透したため、コロナ禍に伴って生じたサイバーセキュリティ上の課題は今も解決されていません。そんななかで、脅威を取りまく状況も進化し続けています。クラウドコンピューティングをはじめとする活動領域におけるイノベーションが新たな脅威を生み出しているからです。予期せぬ領域での脅威も現れています。
こうした現状と今後の展望を把握するため、サイバーセキュリティの専門家チームを再び結集しました。Jeremy Rowley、Dr. Avesta Hojjati、Mike Nelson、Jason Sabin、Dean Coclin、Stephen Davidson、Tim Hollebeek、Brian Trzupek という顔ぶれです。このチームが 2022 年のセキュリティ界を見通した予測を詳しく見てみましょう。
予測: サプライチェーン、ランサムウェア、サイバーテロ攻撃が激化の一途をたどる
今年 2021 年は、SolarWinds へのサプライチェーン攻撃や Colonial Pipeline に対するランサムウェア攻撃といった大胆な攻撃の被害が、ニュースの見出しを飾りました。こうした攻撃が一定の成功を収めたことで、サイバーセキュリティ上重要な 3 つの戦場にスポットライトが当たり、結果的にハッカーたちを刺激した可能性があります。来年に入って流行しそうな脅威について、以下にまとめました。
SolarWinds の侵害は、ソフトウェア更新に含まれるマルウェアが検出されなかったことが原因でした。しかし、動きの速い DevOps(英文リンク)の開発手法を推進している組織ともなると、ソフトウェアのセキュリティを確保するのは容易ではありません。ほとんどのワークフローが、成果物の市場投入を重視するあまり、「セキュリティ・バイ・デザイン(設計によるセキュリティ)」をおざなりにしてしまっているからです。デバイスの開発プロセスとサプライチェーンが複雑になればなるほど、攻撃対象は拡大します。幸いなことに、 コードサイニング のようなベストプラクティスの力によって、企業は開発プロセスの段階ごとにセキュリティを組み込むことができます。開発サイクルをさらに進め、本番環境に移行したり、顧客向けに出荷したりする前に、開発を管理して、コードの完全性を確認することができます。鍵を共有することの危険性を認識し、開発サイクルの各段階でコードを検査するとともに、署名後の改ざんを防止すれば、コードの安全性は大きく向上します。ソフトウェア構成表(SWBOM)を設定することで、ソフトウェアアプリケーションを構成する全コンポーネントを追跡し、コードのソーシングを可視化することもできます。
サイバーテロリストが社会インフラを麻痺させる危険性を秘めていることが如実に明らかになったのが、 Colonial Pipeline とフロリダ州の医療 機関、 テクノロジー 企業、 自動車メーカー、さらには NBA(英文リンク)などにまで広がっています。サイバーテロ事件と同様、ランサムウェア攻撃も報道で大きく扱われることが多いため、自己顕示欲を満たしたがる悪意の攻撃者をさらに増長させる結果になります。特に、暗号通貨の利用が普及し、銀行システム外で身代金の支払いを追跡することが困難になっていることもあって、ランサムウェア攻撃はますますエスカレートしていくと予測しています。
予測: 信頼性と ID がビジネスプロセスでますます重要に
ここ数年、あらゆる業界の企業がデジタルトランスフォーメーション(DX)を導入するようになっており、その傾向はさらに加速しています。世界のデジタルトランスフォーメーション市場は 2021 年から 2028 年にかけて年平均成長率(CAGR)24%という 勢いで成長すると予測する調査結果 (英文リンク) も出ています。複雑なテクノロジーが各組織の重要なプロセスに深く浸透するにつれて、電子署名の使用が増え、今まで以上に強力な信頼性とアイデンティティが求められるようになると予測されます。
金融サービス、不動産、医療、教育などの業界では、電子署名に対応したワークフローが増加するものと予測しています。ハイブリッド型の勤務形態を採用している企業であれば、電子署名は在宅勤務の従業員のオンボーディングやサポートにも役立ちます。電子署名の重要性が増している背景には、その利用率の伸長が挙げられます。実際に、オーストリアとスイスで誤った電子署名の使用をめぐって起こされた 最近の訴訟(英文リンク) で、30 億ユーロの契約が無効になったという事例さえあります。
電子署名の導入で先陣を切っていた欧州は、新型コロナウイルス感染症の大流行を教訓に、eIDAS 規則を改正し、 QTSP(Qualified Trust Service Provider)(英文リンク) 、適格トラストサービスプロバイダー)による署名者の身元確認をリモートで行う高品質な制度を実現しています。また、国境を越えた交流を促すために政府発行の eID の使用を大幅に拡大する提案も新たに提出される予定 です。こうした変更は、ID の管理を民間企業ではなく市民に戻すという継続的な傾向の一環です。
IoT のようなデータ主導のユースケースの場合、信頼性がこれまで以上に重要になります。医療モニター、産業用制御機器、ホームセキュリティシステム、車載センサーなどのデバイスはすべて、プロセスや意思決定をサポートするリアルタイムデータの完全性に依存しています。5G 技術の導入が加速するにつれて、 IoT と 5G 応用の融合が進むと見られ、それがさらに新たな攻撃を招く恐れがあります。PKI は現在も、IoT 環境で信頼性を確保できる堅固な手法として信頼されています。
予測: ポストコロナの脅威は今後も続き、しかも進化する
昨年の予測でも、コロナ禍に直接結びついたさまざまなセキュリティ上の脅威が挙げられていました。そうした脅威は、コロナ禍の状況が徐々に収まってきても引き続き残るものと予測されます。空港や小売店舗、レストラン、その他の公共スペースでは非接触型テクノロジーの利用が普及しつつありますが、それらはすべてサイバー攻撃を受けやすい環境なのです。また、運転免許証や医療記録などのデジタル ID スキームの使用はさらに広がっており、これらも依然としてハッキングの対象となっています。
予測: 耐量子コンピューター暗号がセキュリティの現状に投げかける課題
デジサートの調査 によると、IT 関係の意思決定者のうち 71% が、2025 年までに量子コンピューターが既存の暗号アルゴリズムを解読できるようになると考えています。つまり、セキュリティ企業は耐量子コンピューティングの世界に向けてセキュリティの見直しを迫られることになるわけです。耐量子コンピューター暗号(PQC)は、暗号技術を強化し、セキュリティ侵害の可能性を低減することができます。しかし多くの企業は、自分たちが導入している暗号技術すら明確に理解・把握していないため、積極的な対策を講じて、公開されているサーバーやデバイスの場所をすべて特定し、新しい脆弱性が明らかになり次第速やかに更新したいと考えるでしょう。
2022 年には、 NIST(英文リンク) が現行バージョンの RSA と ECC の暗号化アルゴリズムを置き換える取り組みの最終候補を発表することになると予想されるため、PQC の世界でも大きな進展があると予測しています。
予測: 自動化によるサイバーセキュリティの向上
組織が業務を継続し、利益を吟味するようになると、結果的にセキュリティ技術の効率化が推進されるようになります。セキュリティチームは、これまで以上にリソースの利用を効率化して実績をあげることが求められるでしょう。2022 年は、組織がリソースの利用を効率化して実績をあげられるような技術が重視され、新たな年のセキュリティのイノベーションにおいて自動化が重要な役割を果たすことになると考えられます。最近 デジサートが実施した調査では、PKI 証明書管理の自動化を少なくとも検討しているという企業が 91%に達しました。AI(人工知能)と ML(機械学習)の技術は、こうした自動化を推進するうえで不可欠な役割を、今後も果たし続けるはずです。
予測: クラウド主権が新たなセキュリティを要求
マルチクラウド化が進んでいる今日の世界では、従来のようなゾーンベースのセキュリティのアプローチは時代遅れになりました。クラウドサービスの利用が多岐にわたるようになるにつれて、サイバーセキュリティに対する要求はさらに厳しくなると予測しています。組織が導入を進めているクラウドソリューションは、地域の法律の管轄対象となり規制を受けることが多くなってきました。クラウド主権の管理では、機密のプライベートデータを保護し、データを所有者の管理下に確実に置くことが重視されます。
たとえば、T-Systems と Google Cloud は先日、ドイツ国内の企業、公共事業、医療機関向けに自己証明型クラウドサービスを構築して提供すると発表しました。このように自己証明型クラウドへの取り組みが進むと、企業は地域のセキュリティ要件をさらに強く意識しなければならなくなると考えられます。
予測: VMC の信頼性と ID がメールマーケティングのあり方を変える
競争の厳しいマーケティング環境で突出するのは容易なことではありませんが、マーケティング担当者が永続的な印象を残すことができる新しいテクノロジーも登場しています。Wpromote の調査(英文リンク) によると、B2B マーケティング担当者の 31% が 2020 年の最優先事項としてブランド認知をあげていました。組織がブランドの資産を築いて信頼性を強化するために、認証マーク証明書(VMC)を採用するケースが増えるものと予測しています。
VMC は、メッセージ識別用ブランドインジケーター(BIMI)の取り組みも含めた共同構想の一環であり、メール受信者がメッセージを開く前に、受信トレイでロゴを表示して信頼性を証明します。VMC は、DMARC(Domain-based Message Authentication, Reporting, and Conformance)のセキュリティにより裏付けられています。
DMARC(英文リンク)で保護された VMC を使用すれば、マーケティング担当者は自社のブランディングを強化し、メール開封率を最大 10%向上させることができます。そのうえ、顧客のプライバシーと IT セキュリティに配慮しながら、リスクを最小限に抑える積極的な取り組みを行っていることを明示できます。
予測: 企業はセキュリティに関する戦略と企業文化を優先
最後に、組織は、トップによる主導のもとでサイバーセキュリティの文化を強化すべく、さらなる努力を重ねることが予想されます。フィッシングテストを利用した従業員教育、オンライントレーニングの義務化、経営幹部レベルを対象としたサイバー シミュレーション(英文リンク) 演習など、大規模なサイバーセキュリティ危機が発生した場合に C レベル(経営幹部レベル)の参加者がコミュニケーション戦略や意思決定をテストするという取り組みが増えています。サイバー攻撃者が今後も技術革新を続け、さらに込み入った陰湿な脅威を生み出していくことに疑いの余地はありません。明日の脅威を軽減するには、どんな組織であろうと、リーダーのコミットメントと優れたコミュニケーションが不可欠になるはずです。