2021年が終わろうとしている今、私たちの目に映るのは、新型コロナウイルス感染症で変化を余儀なくされた世界、リモートワークやハイブリッドワークへのシフトを必要とする新しいビジネスモデルです。そして、デジタル化が進む社会の綻びを、冷酷なサイバー犯罪が狙い続けています。
KPMGは、2022年に向けて、サイバーセキュリティに関する以下の7点を予測します。

1.ランサムウェアの蔓延で戦略的な対応が必要に

ランサムウェアが一過性ではなく、「風土病」のように蔓延し、システムの暗号化、オンラインバックアップの破壊、データ公開の脅迫など、犯罪者集団の恐喝の手口はますます巧妙になっています。政府は、サイバー犯罪を国家安全保障上の脅威とみなし、規制当局は犯罪グループに制裁を加え、銀行に対してランサムウェアの支払い状況を追跡・報告するよう要求しています。また、保険会社は、身代金支払いにかかるコストの上昇を考慮し、ポートフォリオのリスクを軽減することを考えています。

2022年にはランサムウェア関連の犯罪者集団がサプライチェーンやクラウドサービスの脆弱性を悪用する事例が増えると予測されます。また、犯罪者集団が使用するインフラを破壊し混乱させるために、国家安全保障コミュニティがより積極的に行動するようになるでしょう。これには、金銭授受に暗号通貨が使われているかを追跡し、阻止することも含まれます。身代金の支払いを違法にするべきかという議論は、犯罪者集団を匿う国家に対する不満とともに、今後も続いていくでしょう。

2.予期せぬ方法で失敗するデジタルの世界

ランサムウェアが組織に与える影響は、企業の役員会でも注目を集め、オペレーショナル・レジリエンスについての幅広い議論を呼び起こしています。組織は最悪の事態に備える必要があることを認識し、大規模なランサムウェア被害が発生した場合にいかに対応するかについて、現実的に検討する必要が増すでしょう。2022年には「レジリエンス」という言葉をよく耳にすることになり、レスポンスとリカバリーにも注目が集まると予測されます。

欧州では、デジタル運用の回復力に関する法律(Digital Operational Resilience Act)とネットワーク情報システム指令(Network Information Systems Directive version 2)が施行され、規制当局は、デジタルインフラの回復力と、相互依存によるシステムリスクに注目することになります。また、デジタルインフラが予期せぬ方法で故障することで、想定されていなかったシステム間のつながりが露呈することになるでしょう。

3.サイバー空間で繰り広げられる地政学的な緊張関係

世界は複雑で、数多くの政治的緊張と偏った考え方が存在します。国家が「自分たちの」サイバースペース、そこに流れる情報、さらには意見の表現方法までもコントロールするようになると、政治的緊張や偏った考え方がサイバースペースでも展開されるようになるでしょう。

2022年には、これらの問題が本格化します。プライバシーに関する法律が制定され、規制と域外義務の複雑かつグローバルな網目構造が形成されるでしょう。責任の所在、集団訴訟やグループ訴訟の範ちゅうについての議論も続いています。新型コロナウイルス感染症の経済的影響が後退するにつれ、規制当局は寛容さを失い、ニュースで取り上げられるような(莫大な)制裁金が科せられるでしょう。
政治的な争点をめぐり、国家がより積極的にサイバー攻撃を仕掛けることになり、仮想上の対立は、外交や貿易に関連した現実世界にも波及するでしょう。

4.ハイブリッド勤務で変化するセキュリティ

出社と在宅勤務を組み合わせるハイブリッド勤務の定着に合わせて、クラウドサービスへの移行が加速しています。この変化に伴い、在宅勤務、私用デバイスの持ち込み、トラフィックの分割トンネリング、DevOpsプロセスなど、これまでとは全く異なるIT環境が生まれています。従来のセキュリティ・モデルは時代遅れになりつつあり、ゼロトラスト、クラウド・アクセス・セキュリティ・ブローカー(CASB)、セキュア・アクセス・サービス・エッジ(SASE)などが話題になっています。

2022年は、議論が理論的なものから本当に必要なものへと変化する年になると予測されます。既存のセキュリティ・モデルが新しい環境に合わなくなり、ますます無防備になっていることを自覚する企業もあるかもしれません。セキュリティ・モデルの転換には、新しいスキル、新しいソリューション、新しいベンダーとの関係が必要になり、サイバーセキュリティ企業の中で勝者と敗者が生まれるでしょう。

5.重要性を増すサプライチェーン・セキュリティ

現在、IT環境の大部分は企業の建物やデータセンターの外に存在するにもかかわらず、「サードパーティアシュアランス」はコンプライアンス活動などに矮小化されていることがよくあります。SaaS、PaaS、IaaSの普及により、IT環境は見違えるように変化しました。2021年には2件のサプライチェーン攻撃が発生し社会的に注目を集めました。サプライチェーン攻撃が数千人規模の被害をもたらしうることを組織犯罪側が認識するようになり、2022年にはさらに多くの攻撃が発生すると予測されます。

マネージド・サービス・プロバイダやクラウド・プロバイダは、重要なデジタルインフラの一部とみなされるようになり、規制面での注目度が高まるでしょう。サードパーティのリスクスコアリングサービスは今後も成熟すると思われますが、まだまだリスクの不完全かつ部分的な把握に留まっています。また、ソフトウェアやサービスの侵害による影響を抑制するためのコンテナ化に関する議論が活発化するでしょう。2022年は、サードパーティリスクの領域全体がより注目されるようになるでしょう。

6.これまで以上に時間との勝負に

サイバー攻撃に必要な時間は急速に短縮されています。最初の侵入からわずか数日後に起動するランサムウェアや自動化されたツールを積極的に活用し、攻撃者は侵入したシステムへの攻撃速度を増しています。サイバー防衛においても、IT環境の複雑さやセキュリティイベントの過検知に悩まされつつも、SOAR(セキュリティのオーケストレーションと自動化によるレスポンス)の活用を模索しています。

2022年には、効率化のための補助ツールだったSOARが、急速に変化する脅威への必須かつ重要な対策と位置付けられるようになると考えられます。インシデントへの対応は、自社内だけでなく、業界全体での対応に広げていく必要があります。公共部門で試験的に導入された能動的な防御プログラムが、民間部門の重要インフラに保護の傘を広げることにより、犯罪インフラを破壊することになるでしょう。

7.新たな技術、新たな規制の課題

2022年には、人工知能や機械学習システムの利用に関する最初の規制が導入されると予測されます。AIの極端な利用、たとえば、人の行動を操ったり、リスクの高いアプリケーションを統制したり、人と直接交流させたりすることなどを禁止する措置も含まれます。ロボット工学、自律型システム、組み込み型システム、さらにはディープフェイクなど、テクノロジーと社会との関係がますます複雑になってきています。

私たちの世界は変化しており、犯罪も変化しています。そのような状況を踏まえ、サイバーセキュリティへの取組みも進化しなければなりません。個別企業ごとではなく連携した取組みがこれまで以上に重要となっています。手を携え、この新しい世界を一緒に守るべきだと、KPMGは考えます。

本レポートは、KPMGインターナショナルが2021年12月に発表した「On the cyber horizon」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

原文はこちらから(英文)
On the cyber horizon

お問合せ