■ワイパー型マルウェア攻撃、OTインフラの脆弱性、サイバーセキュリティスキル不足の深刻化が上位トレンドになると予測

世界最大のサイバーセキュリティ専門家資格の非営利団体である(ISC)²(本社:米国フロリダ州クリアウォーター、CEO:クレア・ロッソ、 https://japan.isc2.org/ )は、2023年のサイバーセキュリティ業界の動向とトレンドに関する予測を発表しました。

(ISC)²の予測では、差し迫った景気後退の可能性に起因するサイバーセキュリティスキル不足の深刻化や、オペレーショナルテクノロジー(OT)インフラの安全確保における抜け穴など、アジア太平洋地域が2023年に直面することが予想されるサイバーセキュリティの喫緊の課題を浮き彫りにしています。

(ISC)²の最高情報セキュリティ責任者(CISO)のジョン・フランス(Jon France)は、次のように述べています。
「2023年は、アジア太平洋地域全体のサイバーセキュリティに対する決断力が徹底的に試される年になります。サイバーセキュリティの脅威の範囲と規模は、常に進化を続けており、企業や政府においては、不確実な金融情勢を切り抜けると同時に、その変化の速度に合わせて先手を打つことが重要です。

同地域では、サイバーセキュリティ人材の不足が約340万人に昇り( https://www.isc2.org/Research/Workforce-Study )、2023年にはさらに悪化する見込みであり、これらの課題はさらに深刻化することが予想されます。当社の予測を通じて、私たちはアジア太平洋地域における一連の重要な課題を特定しました。当社の予測が、企業や政府が今後直面するであろう苦難に備えるための指針となることを期待しています」

■サイバー保険の需要が高まっていく一方で、加入はより困難に

サイバーセキュリティに対する意識向上にはメリットとデメリットがあります。その一つがサイバー保険の保険料の高騰です。世界のサイバー保険市場は、2022年の119億米ドルから、2027年には292億米ドルに達すると予測されています。コンプライアンス違反による罰金の増加や、規制・制度環境の整備を考慮すると、アジア太平洋地域におけるサイバー保険に対する需要は高まる一方です。この主な要因は、ランサムウェア攻撃、データ漏洩、脆弱性の悪用など、セキュリティインシデントによる経済的・風評的なリスクに対する認識が高まったことにあります。

同時に、保険業者もサイバー保険への加入の要件をより厳格化しており、二要素認証やEDR、XDRなど特定の技術を採用することを求めるようになってきています。加入要件に関する文書は、以前は2ページの質問票でしたが、現在は全面監査を目的とした12ページ以上ある文書になっています。これらのことから、サイバー保険の保険料の高騰や加入要件の厳格化は、2023年に注視すべき興味深い障害になります。

他方で、サプライチェーン問題の発生率の高まりにより、サイバー保険の需要が増加することも見込まれます。このような問題により、今後、企業は取引先や第三者機関に対して何らかのサイバー保険の加入を義務付けるようになることが想定されます。地政学的な問題が国境を越えて波及し、企業が常に直面しているサイバー脅威と相まって、企業は最も重要な資産(評判を含む)を守ることを優先するようになるでしょう。サイバー保険の需要は引き続き拡大し、2023年は価格が高騰し加入条件も厳しくなることが想定されます。

■量子技術の実用化は目前で、2023年には対応することが課題

クオンタム・レジリエントなインフラを構築することは、官民セクターともに想像以上に困難になっていきます。量子技術に関する主要な懸念事項のひとつに、国家安全保障が挙げられます。政府には通常、何十年にもわたり続いている秘密保全規則や機密情報管理指針等があります。これらのガイドラインの中には、技術の進化に伴い、量子コンピューティングの脅威にさらされる可能性があるものも含まれています。これらの指針に基づく情報の多くは、耐量子とは言えないアルゴリズムで送信されています(暗号化された状態で補足される可能性もあります)。今後5年から10年の間に、量子技術が商用化される可能性が高まっており、これは国家の最高機密を守るために用いられている過去の、時代遅れの暗号化アルゴリズムにとって真の脅威となります。

将来、量子コンピューティング技術を用いれば、既存の様々な暗号化方式が無意味になってしまう速度で、複雑なバリケードを突破できるようになるでしょう。民間企業にとっても、企業秘密、知的財産、財務データなどは、悪意ある攻撃者が量子コンピューティングの能力を身に着け重要な資産を保護している暗号を破れるようになった場合、同様のリスクにさらされることになります。量子技術に備えたサイバーレジリエンスの構築は、10年前に始めることもできましたが、今は史上2番目に良いタイミングです。2023年には、クオンタム・レジリエンスに関連する課題について、官民セクターの双方が認識を高めていくことでしょう。また、量子コンピューティングに備えるための取り組みも、より明確に始まっていくことでしょう。現在、情報の安全性を担保している通信ネットワークの暗号インフラストラクチャの多くは、深く埋め込まれたもの(証明書など)であり、クオンタム・レジリエント・アルゴリズムへの移行には何年もかかることが見込まれます。量子コンピューティングが一般に普及する前に移行を行うには、時間的な問題があります。

■ワイパー型マルウェア攻撃が増加

ランサムウェアに似たマルウェアであるワイパー型マルウェアは、約10年前から存在していましたが、2022年にはワイパー型マルウェアの攻撃件数の急増が確認されました。ワイパー型マルウェアが用いられる理由は、特にロシアとウクライナの間で勃発しているような戦争時に被害者を妨害するためであることがほとんどです。ロシアを制圧する力を弱めることを目的に、7種類のワイパー型マルウェア( https://www.fortinet.com/blog/threat-research/the-increasing-wiper-malware-threat )がウクライナの組織を攻撃するのに使用されました。ロシア・ウクライナ戦争が続く2023年には、国家主導のワイパー型マルウェア攻撃が増加することが予想され、また世界的に普及したことにより今後紛争が勃発した場合に他国がこの攻撃を利用することが予想されます。さらに、ワイパー型マルウェアの増加に伴い、ランサムウェアやワイパー型マルウェアの配布経路として最も一般的であるフィッシング攻撃も増加することが予想されます。

■産業界はOTインフラセキュリティの重要性を過小評価し続ける

オペレーショナルテクノロジー(OT)は、最もターゲットにされやすく、最も優先順位が低い技術分野の一つです。OTは攻撃の標的となりやすく、重要なインフラシステムに深く浸透しているため、サイバーセキュリティの変化の速度についていくのに苦慮しています。これらのシステムは、従来のITシステムに比べ、より広範囲の人々に、より具体的かつ現実的な影響を与えます。しかし、その多くがライフサイクルや交換サイクルが長く、すぐに時代遅れになってしまうレガシーシステムの上に構築されており、パッチ適用が危険だったり、そもそもパッチを「適用できなかったり」するケースが少なくありません。これはインシデントが広範囲かつ物理的な影響を及ぼす可能性があるため、ハッカー、特にネイションステイトアクターにとっては格好の攻撃対象になります。ロシア・ウクライナ戦争や中国・台湾間で高まっている緊張は、OTシステムに対する潜在的な脅威を増幅させます。OTシステムを保護することは、ゼロトラストの導入や、より規制を設けること、パッチの適用要件を増やすことなど、システムに「新しい」技術を強制することではありません。それは資産の可視性を高め、緩和策を実施し、レジリエンス計画を構築することです。これは最悪の事態が発生した場合に、ダウンタイムと影響を軽減するためのものです。2023年には、これらのシステムの安全性を確保するために必要なことについて業界が誤った認識を続け、そのために重要なインフラへの大規模な攻撃が発生する可能性が高いと思われます。

■不況により研修プログラムへの支出が減少

サイバーセキュリティ業界は不況の影響を受けない産業という見方があるにもかかわらず、不況の時期には人材や品質が打撃を受ける可能性があります。現時点ではサイバーセキュリティのコア予算の削減は起こっていませんが、トレーニング予算などの、より「裁量的」な部分は縮小される可能性があります。ここには、あらゆる規模の企業におけるセキュリティ意識向上のためのトレーニングや重要資産を適切に保護する手段に関するサイバーセキュリティ専門家のトレーニングの両方に当てはまります。サイバーセキュリティ業界は、すでにスキル不足に直面していますが、残念なことに2023年に不況が本格化すると、熟練したサイバーセキュリティ従事者の需要が高まるため、スキル不足が深刻化することが予想されます。

※(ISC)²について

(ISC)² (International Information Systems Security Certification Consortium)は、安全で安心なサイバー空間の実現に取り組む国際的な非営利の会員制組織です。高い評価を得ているCISSP®(Certified Information Systems Security Professional)資格で知られている(ISC)²は、セキュリティに対する網羅的かつ実用的なアプローチの一要素となる資格のポートフォリオを提供しています。総勢約280,000人以上のメンバー、準会員(アソシエイト)、Candidatesを擁する当団体は、サイバー、情報、ソフトウェア、インフラストラクチャの各分野で活躍する認定セキュリティ専門家で構成されており、業界の発展に寄与しています。当団体のビジョンは、慈善基金であるThe Center for Cyber Safety and Education™( https://www.iamcybersafe.org/s/ )を通じて、一般の人々に教育を提供するというコミットメントによって支えられています。(ISC)²に関する詳細は、ウェブサイト( https://japan.isc2.org/ )をご覧いただくかTwitter( https://twitter.com/isc2_japan )、Facebook( https://www.facebook.com/isc2Japan )、LinkedIn( https://www.linkedin.com/company/isc2/ )をフォローしてご覧ください。