サイバー攻撃に関しては、数、攻撃性、組織性、洗練度、いずれをとっても毎年上昇しており、ガートナーは次のように警告しています。「世界中の組織は、高度なランサムウェア、デジタルサプライチェーンへの攻撃、深く埋め込まれた脆弱性に直面しています。パンデミックはハイブリッド化とクラウドへの移行を加速させ、熟練したセキュリティスタッフが不足しているにも関わらず、分散化が進むインフラストラクチャを保護しなければならないという難問を与えました。」
このブログでは、セキュリティ専門家からの、 8 つのセキュリティ関連の注意事項を紹介します。
1. ロシアのサイバー攻撃
今年初め、ゴールドマン・サックスのエコノミストは、特に米国のエネルギー、金融サービス、輸送を標的としたロシアのサイバー犯罪者からの潜在的な攻撃について警告しました。これらの攻撃は、数十億ドルに及ぶ経済的損害を引き起こす可能性があるだけでなく、経済基盤や社会的インフラストラクチャに重要な瑕疵をもたらす可能性さえあります。
この警告はウクライナ侵略の前に報じられたものであり、現在の情勢を考えると、ロシアからの米国のインフラストラクチャに対する攻撃への脅威は倍増していると思われます。
2. IoT、忘れられがちなセキュリティ問題
モノのインターネット(IoT)は、その数が非常に多く、にもかかわらずすべてが攻撃対象領域を持つので、ネットワークセキュリティ上の問題であり続けています。しかも、よく理解することなく使われることも多く、忘れられがちなことも問題に拍車をかけます。「産業機械からコネクテッドカーやスマートホームアプライアンスに至るまで、あらゆるものを網羅するオンライン接続デバイスのネットワーク広大でさらに拡張の一途をたどります。これらのデバイスの総数は、2025年までに270億を超えると予測されており、サイバー犯罪者にとって前例のない数の機会が生まれます。」と、Forbes は、「 The Biggest Cyber Security Risks In 2022」で論じています。
3. 高度化したランサムウェア
ランサムウェアは新しいものではありませんが、ランサムウェアは AI を取り入れるなどしてより高度化し、より狡猾になり、広範に発生し、危険度が高まっています。
Cybernews.com は、「Top cybersecurity threats of 2022」で、サイバー犯罪を助長するだけでなくデータ返却の保証もないので、ランサムウェア攻撃に対して身代金を支払うことは必ずしも良策とは言えないと指摘し、そもそも発生させないことが肝要だと述べています。
ランサムウェアの発生を阻止できるに越したことはありませんが、もし被害にあってデータが暗号化されてしまったとしても、破損やフリーズされていない最新のバックアップが使えるよう、常にバックアップを取るようにしておくことが大切です。
4. 攻撃の自動化とサービスとしての詐欺
ハッカーたちはサイバー攻撃を自動化してより効率的に攻撃を行おうとしています。さらには、サイバー攻撃をサービスとして提供しようとするとんでもない悪輩さえいます。信用リスク管理の分析サービスなどを提供するエクスペリアンが関心を寄せている分野の1つに、サービスとしての詐欺があります。サイバー犯罪者が簡単にサブスクライブできるクラウドサービスを提供することで、不正なエクスプロイトを収益に結びつけようと画策する組織があるのです。
業務メールのような振りをして、音声ボットなども使ってソーシャルエンジニアリングを行う AI 手法を取り入れた機能さえも含まれます。自動化された攻撃とサービスとしての詐欺を利用すれば、特にスキルがなくても極めて脅威レベルの高い高度な攻撃を行うことができます。
エクスペリアンは、「7 global fraud predictions for 2022」という記事で、無自覚なユーザーが、データを提供するだけでなく、合法的だと信じるようソーシャルエンジニアリングされて、自分のデバイスから不正なトランザクションを送信してしまうというケースが多くなっていると警告しています。
5. 攻撃対象領域の拡大
ネットワークが拡大し、使用されるアプリケーションや接続デバイスが増加すれば、それに伴って攻撃対象領域も拡大します。「企業の攻撃対象領域は拡大しています。サイバーフィジカルシステムと IoT、オープンソースコード、クラウドアプリケーション、複雑なデジタルサプライチェーン、ソーシャルメディアなどの使用に関連してリスクが増え、一連のコントロール可能な資産の枠を超えて、外界と接する資産が増加してきています。」と、ガートナーのプレスリリースは述べています。
6. セキュリティ対策意思決定への関与者の増加
セキュリティ上の懸念事項が深刻化するにつれて、セキュリティ対策のためにより多くの人員が関与せざるを得なくなっています。ガートナーは、上記プレスリリースの中で、「企業のサイバーセキュリティのニーズと期待は成熟しており、攻撃対象領域が拡大する中、経営幹部はよりアジャイルなセキュリティを必要としています。デジタルビジネスの範囲、規模、複雑さのために、サイバーセキュリティの決定、責任、および説明責任を、中央集権的な機能から切り離して、組織単位全体に分散することが必要になってきます。」と指摘しています。
CISO、Chief Information Security Officer (最高情報セキュリティ責任者) の役割は、技術レベルの専門家のポストから、より高レベルでより戦略的なポストに変わりました。CISO は、取締役会、CEO、その他のビジネスリーダーが、情報に基づいて正確で迅速な判断が行えるように、責任範囲の見直しと再設定を行う必要があります。
7. ハイブリッド型勤務によりリスクが増大
COVID のパンデミックは、従来のオフィス勤務から、在宅勤務や在宅勤務とオフィス勤務を柔軟に切り換えるハイブリッド型勤務への根本的な移行をもたらしました。ハイブリッド勤務や在宅勤務で使われるリモートデバイスは社内ネットワークの外部から接続されるので、セキュリティ担当者にとって新しい深刻な課題を生み出しました。
「これらのネットワークは従来のエンタープライズ環境よりも侵害されやすく、脅威アクターは、トップエグゼクティブや政府関係者の家や個人ネットワークを標的にし始める可能性があります。」と、Security Magazine の「4 cybersecurity threats that organizations should prepare for in 2022」 という記事は論じています。
ハイブリッド勤務形態では、フィッシング攻撃がよく発生し、高いリスクになります。プライベートと仕事の境界が曖昧になり、ホームデバイスが仕事に使用されるのは普通で、企業のデバイスを使って個人的なタスクを実行することに躊躇する心理的障壁もなくなります。この傾向は持続し、業務用メールアドレスだけでなく個人用メールアドレスにもフィッシング攻撃のメールが届いて、フィッシング攻撃が成功する可能性が倍増します。
8. 備えあれば憂いなし
Forbes の「The Biggest Cyber Security Risks In 2022」という記事は 2022年のサイバーセキュリティリスクについて論じています。その中に、Equifax の CISO、Jamil Farshchi 氏へのインタビューの内容も記述されています。Farshchi 氏は、「備え」の重要さについて次のように強調しています。
筋肉に記憶されるくらいステップを踏んでしっかり準備しておけば、適切に適応して反応することができます。私は竜巻の多いいアイオワ州で育ちましたが、訓練を重ねて備えが身に付きます。大学で竜巻が発生したとき、どのクラスメートが中西部で育ち、誰がそうでないかがすぐわかりました。リスクに対する備えについても同じことが言えます。何か悪いことが起こった時、反射的に迅速に反応できるような備えが大切です。
「備えあれば憂いなし」は、洋の東西を問わず真実を語ることわざです。