2019年はサイバーセキュリティにとって興味深い年でした。様々なデータ侵害が発生し、サイバーセキュリティの本質的な性質に対する認識が高まりました。サイバーセキュリティに関わる人たちに相応の敬意が向けられるようになったような気もします。
2020年はどのような年になるでしょうか?2019年と同様、相変わらずサイバーセキュリティ攻撃が増加し続けるでしょうか、それともセキュリティ専門家が長年にわたって求めてきたソリューションを企業が採用するようになるでしょうか?時間が経たないとわからないことですが、2020年になってハッカーが戦術を変える可能性は低いでしょう(うまくいっているものを変更する必要はありません)。テクノロジーの進化に伴い、ハッカーの手法はより洗練されたものにあるでしょう。ただ、ターゲットは使用可能なデータが存在する場所によって異なってくるでしょう(たとえば、米国のISPは 顧客のデータを収益化できるようになり、この領域での侵害が予想されるようになりました)。あたかも私が計画したかのように...サイバーセキュリティに関する深刻な懸念が深まります。
以下で、サイバーセキュリティの5つの主要ポイントについて、2020年を展望してみたいと思います。
1.データ侵害
価値のあるデータ、身代金目当てで売ったり保持したりできるデータが企業に存在すれば、そのデータを手に入れようとしてデータ侵害が発生します。データリポジトリは魅力的なターゲットであり、サイバー犯罪者は人的エラーやソフトウェア・パッチの遅れなどの脆弱性を目ざとく見つけ、対抗策として利用される侵入テストツールなども使用してデータ侵害しようとします。この傾向は2020年になってもほとんど変わらないでしょう。
ただし、EUのGDPRなどの規制へのコンプライアンス体制は2020年には完全に整ってくるでしょう。EUに本拠地を置かない企業もコンプライアンスが必要なことは、ここでもう一度強調しておきたいと思います。GDPRのアメリカ版とも言えるカリフォルニア州消費者プライバシー法(California Consumer Privacy Act、CCPA)は、2020年1月から施行されます。ほかにも類似したデータ保護法を導入した国があります。データ侵害に起因する評判の低下やデータ保護規制違反の制裁金などを恐れて、多くの企業がデータプライバシーの優先度を上げ、関連するサイバーセキュリティのプロセスを見直す可能性があります。残念ながら、データ侵害に対する保護施策を徹底することは、セキュリティスキルを持った専門家の不足もあって、なかなか簡単ではなさそうです。
2.サイバーセキュリティのスキル
サイバーセキュリティ業務担当者への需要は、それをこなせる候補者の数を超えています。2021年までに世界中で350万人以上のサイバーセキュリティ業務担当者の不足が想定されています。2020年には、企業で、コストをかけてでも既存のセキュリティスタッフに追加のセキュリティスキルを身につけるようトレーニングすることになるかもしれません。募集要項の資格要件を引き下げて、ある程度のITスキルを持った社員に必要なセキュリティ分野のスキルを再訓練することも考えられると思います。
あるいは、企業内での人材育成の代わりに、外部委託に踏み切る企業もあるかもしれません。自社のセキュリティ体制を強化するためにリモートでの対応を他社に委託したり、または脆弱性評価のためにAIベースのソフトウェアソリューションを使用したりすることも出てくるでしょう。
私の予測は…私はノストラダムスではありませんが、多くの企業は社員に投資して教育を受けさせるほど懐が深いとは思えません(または単に予算がないだけかもしれませんが)。おそらく、社費で教育を受けさせてスキルを身につけさせたら、他社からより有利な条件で引き抜かれてしまうことを恐れるのでしょう。間違っていたら指摘してほしいのですが、私は、社員を大切にする企業は追加のトレーニングを受けさせるだろうと信じます。もしそうだとすれば、国際的に認められた幅広い認定資格の中から選択することができます。
いずれにしても、どの企業も、追加のスタッフを雇ったり、社員に追加のトレーニングをしたり、アウトソーシングしたりして、サイバーセキュリティを強化する必要があります。
サイバーセキュリティは、失業者がいないほど需要の高いスキルですが、上級レベルになると責任の重さに比例して高いリスクも背負うことになります。データ侵害が発生してしまうと、多くの場合、CIOやCSOが「辞任」することになったり、解雇されたりします。中堅レベルのセキュリティ担当社員には、セキュリティのトップが切られた場合、社員がフィッシングやランサムウェア攻撃の被害者になってしまったときにリーダーシップを発揮するためのインセンティブはあるでしょうか?2020年は、ひょっとすると、データ侵害の直接的な責任者が責任を取らされ、上級スタッフがダメージコントロールのPR演習ができていないことを露呈する年になるかもしれません。
3.エンドポイント管理
会社が作成するエンドポイントが多いほど、サイバー犯罪者が利用できる攻撃ベクトルが増えます。少し皮肉めきますが、理にかなっていますね?
- クラウドソリューションを使用している場合、クラウドベース攻撃の対象になります。
- 会社のすべてを「スマート」にしようとして、インターネット対応デバイス、つまりIoTに接続されたデバイスを使用すると、追加の攻撃ベクトルがオープンになります。デバイスがセキュリティを念頭に置いて構築されていない場合(たとえば、デフォルトのパスワードや変更できないペアリングPINなど)、または脆弱な接続プロトコルを使用している場合には、特に問題です。
- モバイルデバイス管理(MDM)を使用せずに従業員所有のモバイルデバイスの使用を許可すると、脆弱性が生じます。企業データを保護するためのフルアクセスがIT部門に与えられず、また紛失時や盗難時にデバイスをワイプする機能がないからです。2019年の Kaspersky の調査によると、統計を取った組織の半分が従業員による不適切なITデバイスの使用でデータ侵害の被害にあっています。従業員が所有するデバイスのマルウェアが2020年の深刻な懸念事項になりそうです。
2020年は、企業が事業運営に必要なエンドポイントのみを追加し、BYODの利点を再検討する年になるだろうと予想されます。
4.クレデンシャル管理
従来のユーザー名/パスワード方式に内在する弱点を考えると、次世代の認証技術がより脚光を浴びると推測されます。選択肢には多要素認証や生体認証があるでしょうが、顔、音声、指紋の認証ではデータを入手すれば簡単に侵入でき、変更できない個人の身体情報にかかわることなので、問題が起きたら変更できるパスワードやトークンよりもはるかに困難な状況を生み出し得ます。ネットワークトークンなどの使用も実行可能なソリューションですが、それらを検証するために必要なデータが暗号化で安全に保護されている場合にのみ有用で、さもなければハッカーにデータを使用されハッカーを認証してしまいます。
5.リスク管理
5つめとして、リスク管理について展望したいと思います。データ侵害は増加し続けて蔓延し、セキュリティのベストプラクティスに従ったとしても、ターゲットになる産業の企業はネットワークへの集中的な攻撃によって侵害されてしまう可能性は常にあります。データ侵害の経済的リスクを軽減する1つの方法としてサイバー保険がありますが、これはコンプライアンス違反で課される高額な制裁金のため、ますます重要になっていくでしょう。
私は、2020年にはサイバー保険の採用が促進されると考えます。特に保険会社がサイバーセキュリティの状況と企業への関連する脅威に対する理解を示すポリシーを提供する場合は、保険に加入することを検討する企業は増えるでしょう。ただし、サービス停止の補償や機器の故障以上のものでなければなりません。保険加入会社が増加すれば、それに応じてサイバー保険の費用も減少するはずです...もちろん、保険料は企業の既存のセキュリティ体制に基づいて決まるのでしょうが、関連する変数を考慮すると、サイバーリスクを引き受けること自体も大きなチャレンジかもしれません。
まとめ
最後に、サイバーセキュリティのトレンドに関する展望は予測以外の何ものでもありませんが、これまでと同じようなことがより多く起こるでしょう。セキュリティ意識向上トレーニングを怠って人的エラーが生じ、そこに付け込まれれば、データ侵害が発生し、公表されることになります。2020年にこれまでとの違いがあるとすれば、顧客が自分のデータが保護されることを期待しており、もしそれができずにデータ侵害を発生させてしまった企業があれば、その企業が罰せられることを当然だと留飲を下げるであろうことです。2020年には、多くの企業で保存するユーザーデータの量と保存先を再評価することになるかもしれません。
2020年には、AI/機械学習を利用した脅威の検出とブロックへの試みが増加する可能性があります。ハッカー側もそれに対抗してAIを使用して新しい攻撃を開発するでしょう。このいたちごっこは続くでしょう... 2020年に何が起こるとしても、フィッシングやランサムウェア攻撃がより高度になっていくのは確実で、企業にとってサイバーセキュリティはますます重要になり、企業ネットワークに接続するすべての人にとってセキュリティ意識の向上が不可欠だという点は否定のしようがありません。