2019年の10大サイバーセキュリティ・トレンド
2019年のサイバーセキュリティのトレンドとなる10の要素について、KPMGのサイバーセキュリティ最高技術責任者が紹介します。
2019年のサイバーセキュリティのトレンドとなる10の要素について、KPMGのサイバーセキュリティ最高技術責任者が紹介します。
1. サイバー攻防の激化
過去数年と同様に、サイバー攻撃能力を保持しようとする国では、そのための支出の継続が予想されます。2018年の報告書「世界の脅威評価(Worldwide Threat Assessment)」でも指摘されているとおり、2012年の14ヵ国から増加して、現在、33ヵ国がサイバー攻撃能力を有しており、諜報機関だけではなく、サイバー軍は各国の軍隊においても不可欠になりつつあります。
このような背景に加え、残念なことに、地政学的な緊張が高まり続けているため、保有する攻撃手法が試行されるだけでなく、怒りに任せて実際の攻撃に及ぶこともあり得ると言えるでしょう。また、政治的かつ外交的対応の一環としてサイバー攻撃が公然と行われることも予想されます。
2. サイバー関連法についてのコンセンサス不足
各国でサイバーセキュリティの問題に対処するために煩雑な規制や法的枠組みが策定される一方、国際規範については、コンセンサスが形成されず曖昧なままとなってしまうことが予想されます。
サイバー空間の分裂は続き、グローバル企業はますますフラストレーションを感じるようになるでしょう。
「サイバー空間の信頼性と安全性のためのパリ・コール(The Paris call for trust and security in cyberspace )」は正しい方向への一歩でしたが、各国のサイバーセキュリティ戦略が異なるため、世界統一的な支持を得るには至りませんでした。
3. フェイクニュースの急増
多くの国でサイバー攻撃の目標は重要インフラの混乱と認識されていますが、人々の心と精神の混乱もサイバー攻撃の目標となることが考えられます。
今後、フェイクニュースや、不適切なコンテンツの検閲や排除に更なる注目が集まることは明らかです。
また、ソーシャルメディア、オーダーメイド広告、「荒らし」、標的型フィッシング攻撃によって、さらに自動化されたターゲティングが行われます。そのような活動の適切性については、2019年以降も政治的な議論が続くと思われます。同時に、フェイクニュースのコンテンツを検出し削除するのに必要なツール類の開発も継続されると予想されます。
4. 未来はクラウドの中
長期的な経済性への懸念を持ちつつ、企業がレガシーシステムの移行を継続する一方で、クラウドソリューションが提供する柔軟性を活用した、新たなビジネスモデルが出現しています。
規制当局は、クラウドプロバイダーの活用が進むことに理解を示しつつも、プロバイダーへの依存によって生じるシステムリスクに苦戦することが予想されます。
組織的な犯罪グループは、設定が不適切なクラウドインスタンスを探す巧みな方法を見つけ出し、機密情報の抜き取りや処理能力の悪用を行うと考えられます。大規模なクラウドセキュリティ侵害が、少なくとも1件は発生してしまうことが予想されます。
5. ランサムウェアか仮想通貨のマイニングかは、市場が決定
サイバー犯罪は、犯罪グループにとっては一種の「大規模ビジネス」であり、見方によっては、年間6千億ドルを売り上げる、国を跨る新規事業とも言えます。これは過去2年間における、仮想通貨の搾取被害の増加に表れています。ランサムウェアを用いた脅迫よりも、乗っ取ったシステムで仮想通貨のマイニングを行った方が、彼らにとっては利益があるのです。
しかし、ランサムウェアが無くなるわけではありません。よりカスタマイズされた攻撃、企業から身代金を強要する方法の追究、そして、情報の開示を手玉に取った巧妙な脅しが今後も続くことが予想されます。
6. プライバシーが導く透明性 -初の制裁金は誰に
2018年、EU一般データ保護規則(General Data Protection Regulation: GDPR)が施行され、遵守するための対応過程で、多くの企業はレガシーシステムや情報アーキテクチャに根本的な問題を抱えていることに気づきました。これらの問題を解決するためには、コストと時間の両方が必要となります。
2019年は、GDPR違反にかかる初の制裁金に注視するとともに、どのような違反を以て連結売上高の最大4%となる制裁金が課せられるのかを、企業が自問自答する年となるでしょう。そして、サイバーセキュリティインシデントに関する透明性が増すことによって、集団訴訟やセキュリティ強化への政治的要求も増加すると予想されます。
7. 標的となるeコマース
2018年はeコマースサイトへのサイバー攻撃、いわゆるMegacart攻撃が多数発生しました。これらの攻撃は組織的な犯罪として2019年も続くことが予想され、信用情報やクレジットカード情報を収集するため、設定やセキュリティ対策が不十分なWebサイトが標的とされるでしょう。
これらの攻撃で被害を受ければ、銀行は、何百万枚ものクレジットカードを再発行する必要に迫られるとともに、不正請求を防止する代替策を講じなければなりません。また、個人の認証や支払いにおいて、携帯電話がより重要な役割を担うようになり、そうした認証等の通信の傍受やなりすましといった攻撃に対して、犯罪グループと通信会社との攻防が激化することが予想されます。
8. 高まるサプライチェーン・リスク
OSの堅牢性向上、自動的なパッチ適用、ウイルス対策・マルウェア対策の高度化により、セキュリティレベルは向上し、エンドポイントは以前よりはるかに安全になりました。管理が高度化することでIT資産への攻撃が困難になり、攻撃者の標的はサプライチェーンへと移っています。
多くの企業が、契約条件の追加や実査によって、サプライヤーのセキュリティ向上を推進しており、サプライヤーのセキュリティは大きな関心事となっています。企業は、インターネット上の活動/データ漏洩のモニタリングや、第三者の保証によって、サプライヤーのリスクスコアを採点する新たな方法を模索しています。
サイバーリスクに応じて株価が変動することに止まらず、これらのリスクスコアによって、信用格付や保険費用が変動するようになりつつあります。
Webサイト間の依存がますます複雑になるに従い、2019年はサプライチェーンのリスクがさらに高まることが予想されます。
9. 巧妙性を増すソーシャルエンジニアリング
技術的な攻撃が高度化する一方、ソーシャルエンジニアリングにおける犯罪も一層巧妙になることが予想されます。ビジネスメール詐欺やCEO詐欺(CEOを騙った偽メール)は、引き続き「儲かる」ビジネスであり、サイバー攻撃によって発生するこれらの信用詐欺は、コールセンターの多国籍ネットワークによって国際的な法執行機関間の連携が必要なレベルであり、2019年も続くことが予想されます。このような信用詐欺のターゲットを見つけるため、また、運用を効率化するために、データ分析や人工知能(AI)の利用も想定されます。
これらの脅威に対抗するためには、サイバーセキュリティと詐欺対策コミュニティとの密な連携が必要ですが、詐欺被害におけるサイバー犯罪の割合が大きくなるにつれ、サイバーセキュリティと詐欺対策コミュニティとの区別は無くなっていくと思われます。
10. 求められる機敏性
犯罪グループの攻撃インフラを閉鎖させるため、IT企業は、引き続き政府や関連企業との連携を続けるでしょう。セキュリティベンダーはウイルス対策やメールブロックリストをより頻繁に更新し、システムは自動的にパッチ適用することで脆弱性を無くします。また、ブラックリストに含まれているドメインを自動で確認するDNSサービスが使用されるようになります。
低レベルなサイバー攻撃が徐々に拡大していることと、攻撃が経済やデジタルライフに及ぼす影響を考慮し、政府が通信会社と密に連携し、サイバー犯罪の防止・捜査を行う「アクティブ・ディフェンス」が日常化してきています。
一方、犯罪グループは、少しのチャンスも逃さない手法を考え、新しい攻撃インフラを確立し、攻撃コードを修正・難読化することで、専門性を高めてきています。
おわりに:今後10年の長期トレンド
AIは、意思決定、プロセスの自動化、データ分析の分野で進化し、多くの業界に取り入れられていきます。AIにとっては、データの整合性、アルゴリズムの改ざん、複雑な意思決定ロジックの精査が新たな課題となります。犯罪グループは、自分たちに有利に働くよう、AIを欺く巧妙な方法を発見することが予想されます。