レジリエンスへの関心の高まりが組織のセキュリティリーダーの役割に変化をもたらしています。この傾向は2023年も続くでしょう。2022年はビジネスを混乱させる出来事が数多くあり、特にサイバー犯罪インシデントの増加は大きな影響を及ぼしました。今後、データの集中が進む中でサイバー脅威が増加し続けることはまず確実であり、サイバーセキュリティのあり方を根本から見直す必要がありそうです。
サイバーセキュリティのあり方の進化に合わせて、セキュリティリーダーやCISOの役割と責任も変わっていくでしょう。実際、Splunkの2022年のセキュリティ調査レポートによれば、調査対象となったセキュリティチームの59%が問題緩和に割り当てる時間とリソースを増やしており、2021年の42%から増加しています。増加するサイバー攻撃を緩和、防止するための戦略を立て、最終的にビジネスレジリエンスの向上を目指すうえで、CISOの責任が大きくなることは必至です。
Splunkの最新のデータセキュリティ予測レポートでは、ランサムウェアをはじめとするサイバー犯罪の増加、急務となっているプライバシー保護など、10種類のセキュリティ脅威を取り上げています。シンガポールとアジアパシフィック地域に限って言えば、ランサムウェアの増加、Cybercrime-as-a-Service、サプライチェーン攻撃の3つが特に注目されます。これらの地域では、デジタルトランスフォーメーションを推進する組織が増えており、その過程でサイバー防御が意図せず緩む可能性があるため、サイバー犯罪者に目を付けられています。
効果的に機能し勢いを増すランサムウェア
Splunkの2022年のセキュリティ調査レポートによれば、ランサムウェア攻撃を受けたことのある組織は79%にのぼり、そのうち35%が攻撃によってデータやシステムにアクセスできなくなりました。ランサムウェア攻撃は巧妙さも増しており、従来の自動化された無差別攻撃から、暗号化を省略した直接的な脅迫へと戦術を変え始めています。デジタルトランスフォーメーションの過程で、不用意なマルチクラウド導入、ハイブリッド環境への移行、オンラインツールの追加によってデータやシステムの可視性が低下すると、セキュリティに隙が生じて、犯罪者の格好の的になりがちです。
デジタル化が急速に進む中で、ランサムウェア攻撃をサービス化したRansomware-as-a-Serviceが登場し、今後攻撃が増加することは間違いありません。そのため、サイバーセキュリティ能力の向上やITインフラの防御強化に役立つツールやリソースへの投資は喫緊の課題です。
標的になりがちな業界は、政府・行政機関や銀行・金融サービス・保険(BFSI)だけでなく、テクノロジー面で後れを取りがちな教育機関や医療業界にも広がっています。
一方で希望もあります。セキュリティの大部分はデータの問題であり、適切なセキュリティ/オブザーバビリティツールとデータプラットフォームを導入すれば、攻撃を食い止めてこれらの脅威を乗り越えることができるでしょう。
雇われブラックハットハッカーによるCybercrime-as-a-Service
「ホワイトハット」という言葉を聞いたことがある人もいると思います。セキュリティ向上に貢献する倫理的なハッカーのことです。これに対して最近使われるようになったのが「ブラックハット」で、サイバー犯罪をサービスとして提供する雇われハッカーを指します。シンガポール警察(SPF)は、サイバー犯罪の報告件数が2021年に2万2,219件に達し、2020年の1万6,117件から38%増加していることへの懸念を表明しました。
今日、サイバー犯罪は職業化し、完全なエコシステムを形成するようになっています。つまり、サイバー犯罪者などの悪意を持つ者が、不正に入手したクレジットカード番号や個人情報が売買されるダークウェブ上でサイバー犯罪をサービスとして販売できる環境が整っているということです。そのため、犯罪組織であっても個人の犯罪者であっても同じレベルの脅威と損害をもたらします。技術やコーディングスキルの有無に関係なく、誰でもサイバー攻撃を行い、被害者を脅迫できるようになっているのです。
ポリシーの隙を突くサプライチェーン攻撃
ランサムウェア攻撃と同様に、サプライチェーン攻撃は今後も続くと見込まれます。その原因は適切なポリシーの欠如です。オープンソースコードの利用も問題となります。オープンソースのコンポーネントに脆弱性が見つかった場合、使用または販売する製品に影響するかどうかを判断するのは容易ではありません。
サプライチェーン攻撃は続き、今後、資金とリソースが少ないオープンソースが狙われるでしょう。その緩和策としてSBOM (ソフトウェア部品表)が近い将来、業界の標準になり、その作成が組織の義務になると考えられます。ほかにも改善の余地はたくさんあります。オープンソースのコンポーネントを利用する組織が、その開発と保守に十分な資金を提供していないことも問題です。
急速なデジタル化とビジネスの加速に伴ってソフトウェアリリースサイクルが短期化していることもサプライチェーン攻撃の増加につながります。サプライチェーン攻撃が続く中で、組織のインフラを構成するすべてのソフトウェアコンポーネントのリストを作成、管理することがCISOの今後の重要な課題になるでしょう。
サイバー犯罪の高度化による責任の拡大
サイバー脅威が高度化すれば、サイバーセキュリティのあり方もまた進化します。脱グローバル化の圧力、オーストラリアやシンガポールをはじめとする国々でのデータ規制の変更、インドの全国的な5G展開プランなどを背景に、ブロックチェーンや量子コンピューティングといった最先端領域におけるイノベーションは、サイバー犯罪の進化を後押しし、サイバー攻撃を加速させます。
データとセキュリティが密接に関係し、組織内で物理的なセキュリティと情報セキュリティが一体化する中、もはやCISOはセキュリティを単独の職務として考えることはできません。セキュリティがデータの問題となるにつれ、CISOは組織全体の新たな意思決定において重要な役割を果たしていく必要があるでしょう。つまり、より多くの幅広いデータに対して責任を持ち、さまざまな事業部門のサイバーセキュリティ能力を強化して、サイバーレジリエンスを実現するのです。
詳しくは、『Splunkによる2023年の予測 - データセキュリティ編』をご覧ください。
このブログはこちらの英語ブログの翻訳、大久保 かがりによるレビューです。
