<従来のサイバーセキュリティ対策では追いつかないほど、次々と新たなリスクや攻撃手段が登場し被害をもたらしている>
現代の目まぐるしく動くデジタル世界では、サイバーセキュリティの状況が絶えず変化し、多種多様で複雑なリスクが存在する。高度なランサムウェア攻撃から、攻撃者によるサプライチェーン(供給網)への浸透、AI(人工知能)の悪用に至るまで、新たに登場する脅威がサイバーセキュリティ環境をこれまで以上に危険なものにしている。
そこで本稿では2023年を振り返って、来たる2024年に注目すべきサイバーセキュリティのリスクを5つピックアップして、対策まで紹介したい。
ソフトウェアサプライチェーン攻撃
まず1つ目は、ソフトウェアサプライチェーン攻撃だ。これは、私たちが導入しているソフトウェアの製造や提供の工程が攻撃され、ソフトウェアそのものや、そのアップデートプログラムなどに不正なコードを埋め込まれてしまうことを指す。このような外部からの関係企業を介して(つまりサプライチェーン)、企業や組織が広範囲にわたって侵害を受けることになる。
2020年には、ネットワーク監視などの製品を提供するアメリカのソーラーウインズ社の製品「Orion Platform」に攻撃者がマルウェア(悪意ある不正なプログラム)を埋め込んだことで、その製品を導入していたアメリカ政府機関や大手企業、日本企業など全世界で1万8000の顧客が影響を受けた。
こうしたサイバー被害を防ぐには、まずソフトウェアのアップデートやパッチを適応することを忘れないこと。また、ソフトウェアなどの製造元に対する定期的な評価を行い、業界基準に沿ってセキュリティ慣行を行っているかを確認すべきだ。さらに、組織内のソフトウェアと関連システムに対して、厳格なアクセス管理と多要素認証(MFA)を実施する。加えて、攻撃被害に遭ってしまった際の復旧プロセスも確認したい。
外部の契約業者によるセキュリティ侵害
2つ目のリスクは、外部の契約業者によるセキュリティ侵害だ。現代のビジネス環境では、外部の取引業者などとの協力が一般的になっている。しかし、外部パートナーへの依存度が高まることで、新たなサイバーセキュリティリスクが生じる。外部業者はセキュリティ対策が希薄なことが少なくないため、サイバー犯罪者は取引業者から本丸(本来のターゲット)への不正アクセスを図る。
日本では2022年10月に大阪の大阪急性期・総合医療センターがサイバー攻撃されて診療を長期間停止した。この攻撃では、取引業者の給食提供業社から侵入されている。こうした問題は、引き続きリスクとなるだろう。
加えて、リモートワークが普及していることで、従業員がオフィス環境外から会社のリソースにアクセスすることが増えた。外部からのアクセスを許すことによって、不正アクセスのリスクが増加する。取引先や従業員などによる外部からのアクセスで生まれるリスクを軽減するために、積極的な対策を講じることが重要だ。
対策としては、外部パートナーに対する審査と、継続的なモニタリングが必要になる。そして取引先などが自分の企業や組織のセキュリティ基準を満たしているかどうか確認するべきである。外部への露出を管理して制限し、厳格なアクセス管理を実施することも必要だ。多要素認証(MFA)を実装し、脅威インテリジェンスを活用すべきだ。
人工知能(AI)による脅威
3つ目のリスクは、人工知能(AI)による脅威だ。AIは様々な産業を革命的に変えているが、サイバーセキュリティ分野においても新たなリスクの扉を開いている。攻撃者はAIの力を巧妙に悪用し、新しい種類のAI駆動型サイバー攻撃を創出している。洗練されたフィッシング攻撃キャンペーン、自動化されたパスワードクラッキング(解析)、さらにはAI駆動型のマルウェアを実行するためにAIを利用するようになっているのである。
AI駆動型の攻撃は、従来のセキュリティ管理を回避して、脆弱性をより正確かつ迅速に見つけ出す能力をもつ。これに対抗するには、企業や組織が、AIや機械学習アルゴリズムを利用したリアルタイムの脅威検出と、予防のための進んだセキュリティソリューションを採用する必要がある。
またAIシステム自体が、その脆弱性を悪用されたり、乱用されたりする可能性がある。こうしたAIのリスクを防ぐには、堅牢な認証、アクセス管理、監査メカニズムなどの対策が不可欠だ。またAIシステムの脆弱性を特定して対処するために、徹底的なテストと検証プロセスを実施する。AIで生まれる新たな脅威に先んじて、効果的な軽減戦略を実施することで、組織はAI駆動型のサイバー攻撃がもたらすリスクを最小限に抑え、デジタル資産を守ることができる。
クラウドセキュリティの課題
4つ目は、クラウドセキュリティの課題だ。
現在、企業や組織では、さまざまなサービスがクラウド化されている。クラウド技術は、組織がデータを保存、アクセス、および管理する方法を革命的に変えた。しかし、それによって、機密情報の保護を確保するためにサイバーセキュリティで対処しなければならなくなっている。
クラウドシステム内にも脆弱性があり、不適切なアクセス制御、および弱い認証メカニズムは、機密データを不正アクセスにさらす。そうした脆弱性はサイバー犯罪者によって悪用されてクラウド環境への侵入を許し、保存されたデータの完全性と機密性を損なうこともある。
これらの課題に対処するために、企業や組織はクラウドセキュリティに関する包括的なアプローチが必要だ。システムの定期的な更新とパッチ適用、強固なアクセス制御と認証メカニズムの実装、定期的なセキュリティ監査の実施は不可欠である。また、クラウドセキュリティのベストプラクティスのためのユーザー教育も重要だ。
人材不足
最後は、人材不足だ。人材不足は切迫した課題のひとつで、サイバーセキュリティ分野には熟練したスキルのある専門家が圧倒的に不足している。企業や組織は、進化する攻撃者らによるサイバー脅威に対処して、デジタル資産を効果的に保護することに苦戦している。サイバーセキュリティの専門知識への需要は供給を上回り続け、多くのビジネスが攻撃に対して脆弱な状態にある。
人材ギャップを埋めるために、仮想セキュリティ最高責任者(vCISO)や、マネージドセキュリティサービスプロバイダー(MSSP)が注目されている。仮想CISOは専門的なコンサルティングサービスを提供し、企業が堅牢なサイバーセキュリティフレームワークを実装できるよう支援する。
一方、MSSPは脅威の検出やインシデント対応を含む包括的なセキュリティソリューションを提供し、社内のセキュリティ対策チームを効果的に補完できる。また現在では、組織は自動化ツールを活用してセキュリティ運用を効率化し、既存の人員への負担を軽減する対策も注目されている。
年々、複雑化するサイバー脅威によってもたらされる課題に対応する中で、このコラムのような最新の脅威と技術について情報を得ることも非常に大事だ。先見の明を持ち、堅牢なセキュリティ対策を実施し、ベストプラクティスを採用すること。それによって、私たちは機密データを効果的に保護し、顧客の信頼を維持することができる。私たちのデジタル資産を守ることは、自分たちの成功にとってのみならず、デジタルエコシステム全体のセキュリティと安定性にとっても不可欠なのである。
脅威インテリジェンスによって企業などのシステムにある潜在的な脆弱性(セキュリティ上の穴)を特定し、サイバー犯罪者に悪用される前に脅威インテリジェンスでそれらを軽減するETLM(External Threat Landscape Management=外部脅威情勢管理プラットフォーム)というコンセプトを推し進めている立場の私にとっても、2024年もまたサイバー攻撃のリスクとの戦いは終わらないのである。
現代の目まぐるしく動くデジタル世界では、サイバーセキュリティの状況が絶えず変化し、多種多様で複雑なリスクが存在する。高度なランサムウェア攻撃から、攻撃者によるサプライチェーン(供給網)への浸透、AI(人工知能)の悪用に至るまで、新たに登場する脅威がサイバーセキュリティ環境をこれまで以上に危険なものにしている。
そこで本稿では2023年を振り返って、来たる2024年に注目すべきサイバーセキュリティのリスクを5つピックアップして、対策まで紹介したい。
ソフトウェアサプライチェーン攻撃
まず1つ目は、ソフトウェアサプライチェーン攻撃だ。これは、私たちが導入しているソフトウェアの製造や提供の工程が攻撃され、ソフトウェアそのものや、そのアップデートプログラムなどに不正なコードを埋め込まれてしまうことを指す。このような外部からの関係企業を介して(つまりサプライチェーン)、企業や組織が広範囲にわたって侵害を受けることになる。
2020年には、ネットワーク監視などの製品を提供するアメリカのソーラーウインズ社の製品「Orion Platform」に攻撃者がマルウェア(悪意ある不正なプログラム)を埋め込んだことで、その製品を導入していたアメリカ政府機関や大手企業、日本企業など全世界で1万8000の顧客が影響を受けた。
こうしたサイバー被害を防ぐには、まずソフトウェアのアップデートやパッチを適応することを忘れないこと。また、ソフトウェアなどの製造元に対する定期的な評価を行い、業界基準に沿ってセキュリティ慣行を行っているかを確認すべきだ。さらに、組織内のソフトウェアと関連システムに対して、厳格なアクセス管理と多要素認証(MFA)を実施する。加えて、攻撃被害に遭ってしまった際の復旧プロセスも確認したい。
外部の契約業者によるセキュリティ侵害
2つ目のリスクは、外部の契約業者によるセキュリティ侵害だ。現代のビジネス環境では、外部の取引業者などとの協力が一般的になっている。しかし、外部パートナーへの依存度が高まることで、新たなサイバーセキュリティリスクが生じる。外部業者はセキュリティ対策が希薄なことが少なくないため、サイバー犯罪者は取引業者から本丸(本来のターゲット)への不正アクセスを図る。
日本では2022年10月に大阪の大阪急性期・総合医療センターがサイバー攻撃されて診療を長期間停止した。この攻撃では、取引業者の給食提供業社から侵入されている。こうした問題は、引き続きリスクとなるだろう。
加えて、リモートワークが普及していることで、従業員がオフィス環境外から会社のリソースにアクセスすることが増えた。外部からのアクセスを許すことによって、不正アクセスのリスクが増加する。取引先や従業員などによる外部からのアクセスで生まれるリスクを軽減するために、積極的な対策を講じることが重要だ。
対策としては、外部パートナーに対する審査と、継続的なモニタリングが必要になる。そして取引先などが自分の企業や組織のセキュリティ基準を満たしているかどうか確認するべきである。外部への露出を管理して制限し、厳格なアクセス管理を実施することも必要だ。多要素認証(MFA)を実装し、脅威インテリジェンスを活用すべきだ。
人工知能(AI)による脅威
3つ目のリスクは、人工知能(AI)による脅威だ。AIは様々な産業を革命的に変えているが、サイバーセキュリティ分野においても新たなリスクの扉を開いている。攻撃者はAIの力を巧妙に悪用し、新しい種類のAI駆動型サイバー攻撃を創出している。洗練されたフィッシング攻撃キャンペーン、自動化されたパスワードクラッキング(解析)、さらにはAI駆動型のマルウェアを実行するためにAIを利用するようになっているのである。
AI駆動型の攻撃は、従来のセキュリティ管理を回避して、脆弱性をより正確かつ迅速に見つけ出す能力をもつ。これに対抗するには、企業や組織が、AIや機械学習アルゴリズムを利用したリアルタイムの脅威検出と、予防のための進んだセキュリティソリューションを採用する必要がある。
またAIシステム自体が、その脆弱性を悪用されたり、乱用されたりする可能性がある。こうしたAIのリスクを防ぐには、堅牢な認証、アクセス管理、監査メカニズムなどの対策が不可欠だ。またAIシステムの脆弱性を特定して対処するために、徹底的なテストと検証プロセスを実施する。AIで生まれる新たな脅威に先んじて、効果的な軽減戦略を実施することで、組織はAI駆動型のサイバー攻撃がもたらすリスクを最小限に抑え、デジタル資産を守ることができる。
クラウドセキュリティの課題
4つ目は、クラウドセキュリティの課題だ。
現在、企業や組織では、さまざまなサービスがクラウド化されている。クラウド技術は、組織がデータを保存、アクセス、および管理する方法を革命的に変えた。しかし、それによって、機密情報の保護を確保するためにサイバーセキュリティで対処しなければならなくなっている。
クラウドシステム内にも脆弱性があり、不適切なアクセス制御、および弱い認証メカニズムは、機密データを不正アクセスにさらす。そうした脆弱性はサイバー犯罪者によって悪用されてクラウド環境への侵入を許し、保存されたデータの完全性と機密性を損なうこともある。
これらの課題に対処するために、企業や組織はクラウドセキュリティに関する包括的なアプローチが必要だ。システムの定期的な更新とパッチ適用、強固なアクセス制御と認証メカニズムの実装、定期的なセキュリティ監査の実施は不可欠である。また、クラウドセキュリティのベストプラクティスのためのユーザー教育も重要だ。
人材不足
最後は、人材不足だ。人材不足は切迫した課題のひとつで、サイバーセキュリティ分野には熟練したスキルのある専門家が圧倒的に不足している。企業や組織は、進化する攻撃者らによるサイバー脅威に対処して、デジタル資産を効果的に保護することに苦戦している。サイバーセキュリティの専門知識への需要は供給を上回り続け、多くのビジネスが攻撃に対して脆弱な状態にある。
人材ギャップを埋めるために、仮想セキュリティ最高責任者(vCISO)や、マネージドセキュリティサービスプロバイダー(MSSP)が注目されている。仮想CISOは専門的なコンサルティングサービスを提供し、企業が堅牢なサイバーセキュリティフレームワークを実装できるよう支援する。
一方、MSSPは脅威の検出やインシデント対応を含む包括的なセキュリティソリューションを提供し、社内のセキュリティ対策チームを効果的に補完できる。また現在では、組織は自動化ツールを活用してセキュリティ運用を効率化し、既存の人員への負担を軽減する対策も注目されている。
年々、複雑化するサイバー脅威によってもたらされる課題に対応する中で、このコラムのような最新の脅威と技術について情報を得ることも非常に大事だ。先見の明を持ち、堅牢なセキュリティ対策を実施し、ベストプラクティスを採用すること。それによって、私たちは機密データを効果的に保護し、顧客の信頼を維持することができる。私たちのデジタル資産を守ることは、自分たちの成功にとってのみならず、デジタルエコシステム全体のセキュリティと安定性にとっても不可欠なのである。
脅威インテリジェンスによって企業などのシステムにある潜在的な脆弱性(セキュリティ上の穴)を特定し、サイバー犯罪者に悪用される前に脅威インテリジェンスでそれらを軽減するETLM(External Threat Landscape Management=外部脅威情勢管理プラットフォーム)というコンセプトを推し進めている立場の私にとっても、2024年もまたサイバー攻撃のリスクとの戦いは終わらないのである。