2023年に企業が留意すべきセキュリティリスクは? ~キーワードは攻撃の先鋭化と瞬時の拡散~ | |
---|---|
作成日時 23/01/24 (14:46) | View 5004 |
トレンド分析から抽出されたセキュリティの脅威
2022年12月から2023年1月にかけて、IT分野の業界団体、研究機関、セキュリティ企業から、2023年に留意すべきセキュリティリスクに関するレポートが発表されました。今回は、それらの中からいくつかをピックアップしてお知らせします。
前半は、より広い視野から情報技術の分野と接している非営利組織とソフトウェアメーカー、続いて情報セキュリティの前線で活動するセキュリティ企業の報告をいくつか紹介します。最後にこれらの内容から、一般企業にとって特に留意すべきセキュリティリスクとその対策を考えてみましょう。
※以下の項目とランキングは、当コラムで一部要約/抄訳しています。
サイバー保険への加入が困難に?
(ISC)²は、情報セキュリティ分野の資格の創設と管理、人材育成などを専門とする1989年に設立された非営利組織です(本部:米フロリダ)。2023年1月には、「アジア太平洋地域における2023年のサイバーセキュリティ業界の課題」に関するレポートを公開しました。これによると、リスクが高い分野として以下が挙げられています。
1. サイバー保険の需要が高まっていく一方、加入はより困難に
2. 量子技術の実用化は目前で、2023年には対応が課題に
3. ワイパー型マルウェアの攻撃が増加
4. 産業界はOTインフラセキュリティの重要性を過小評価し続ける
5. 不況により研修プログラムへの支出が減少
参考:(ISC)² ニュースリリース
https://prtimes.jp/main/html/rd/p/000000006.000103584.html
広範な領域に接する組織の特性が反映された内容と言えますが、最初に挙がった「サイバー保険」は、ランサムウェアや情報流出が企業に与える深刻な被害が、社会全体に周知されてきた点が前提にあります。これに伴い、保険料が高額化する一方、EDRや多要素認証など特定技術の導入を求める傾向が強まってきました。サイバー保険の価格高騰は、被害が増え続ける世界の現況を象徴したものと言えそうです。
3つ目のワイパー型マルウェアは、ランサムウェアと似たタイプで、戦時下や五輪など大きなイベントで使われてきた“データの破壊”を目的としたマルウェアです。その次のOT(Operational Technology)は、製造系のシステム。以前は攻撃対象になる機会は少なかったのですが、情報系との連動が普通になった現在は、状況は変わっています。
クラウドセキュリティの重要度が増す
Microsoftは2022年12月、同社のブログで2023年を予測した「5 endpoint management predictions for 2023(5つのエンドポイント管理の変化)」を発表しました。同社が推進するエンドポイント管理にフォーカスしたタイトルですが、内容は情報セキュリティ全般に言及したものです。
1.クラウドの成長率維持と、クラウド向け「統合エンドポイント管理」の需要が増加
2.脆弱性の減少と自動化促進に向け、セキュリティソフトと統合コンソールの統合が進展
3.ハイブリッドワークを保護する技術の需要が増加
4.各国で公共機関のDXが進み、国や地域特有のセキュリティ/コンプライアンス要件への対応が求められる
5.エンタープライズソフトウェアにおけるAIの導入と自動化技術が進展
参考:Microsoft Webページ
1.では、世界経済が低迷するとしても、継続的なクラウドの成長を予測しています。その前提を元に、クラウドベースの「統合エンドポイント管理ソリューション」の需要増加に言及していますが、エンドポイントセキュリティの重視と、管理エリアをクラウドに拡張する動きは、ここ数年のセキュリティ対策の大きな流れと言っていいでしょう。
※エンドポイントセキュリティ:PCやサーバなど個々のデバイス単位で安全対策を強化するシステムや技術
2.は、セキュリティインシデントの大きな要因であり続ける脆弱性に関する内容です。対策と管理を効率化するため、企業内のソフトウェアをシームレスに管理できる「統合コンソール」を活用し、対策の自動化と迅速化を進めるべきとする提言とも言えます。
3.はハイブリッドワーク、つまり、ここ数年で拡がったテレワークを併用したワークスタイルを守るセキュリティ技術の需要拡大です。特に5Gデバイスの大量導入が進むとされていますが、新しいシステムの稼動時に生じてしまう防御の盲点、情報漏えいにつながる弱点への対応が求められるでしょう。
前線に立つ企業の視界には?
ここから先は、クラウドセキュリティやランサムウェア、不正アクセス、情報流出、ID・パスワードの盗用など、さまざまなインシデントと現場で対峙しているセキュリティ企業の視界に入っているトレンドを、米国に本拠を置くベンダーの発表を中心に見ていきます。
◇TREND MICRO 「2023年 セキュリティ脅威予測」
1.クラウド対応や窃取情報のマネタイズなど、ランサムウェアのビジネスモデルが多様化
2.組織が利用するオープンソフトウェアの脆弱性を悪用する攻撃が多発
3.ディープフェイクなど新手法により、ソーシャルエンジニアリングが巧妙化+ダークウェブでのディープフェイクやBEC(ビジネスメール詐欺)のサービス化、ビジネス化が進展
4.法人組織は包括的なセキュリティ戦略への転換を迫られる
参考:TREND MICRO Webページ
https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20221226-01.html
ダークウェブの構造
◇WithSecure 「2023年のサイバー脅威に関する予測」
1.自然言語生成モデルがサイバー攻撃に利用される
2.セキュリティ侵害を通じて、機械学習モデルを窃取する行為が増加
3.クラウドに特化した攻撃が主流に
4.機械学習などデータ処理に必要な電力不足とより効率的な電力の利用が課題に
5.2038年問題は思ったより早くやってくるため、今から準備が必要
6.マルウェアによる攻撃は、人間のスピードから機械のスピードへ移行
※2038年問題:2038年のある瞬間にコンピュータシステムが誤動作する問題
参考:WithSecure Webページ
https://www.withsecure.com/jp-ja/whats-new/pressroom/20221215-predictions
◇proofpoint 「2023年サイバーセキュリティ予測」
1.経済の低迷と紛争がエコシステムに影響し、システミック・リスクが悪化
2.ダークウェブでのツールの商業化が犯罪を助長
3.ランサムウェアのビジネスモデルが二重脅迫型に移行・巧妙化が加速
4.多要素認証を使う“人のスキ”を突く攻撃が増加
5.サプライチェーン攻撃がさらに加速
6.ディープフェイクの拡がりと攻撃への応用が進む
7.規制当局の監視の高まりに呼応し、CISOや取締役会への要求と期待が増大
参考:proofpoint Webページ
https://www.proofpoint.com/jp/blog/ciso-perspectives/cybersecurity-predictions-for-2023
クラウドのセキュリティ強化は共通認識
全体を概観して脅威として印象に残るのは、まずクラウドシフトのさらなる進展とそれに伴うセキュリティ強化の必要性、ランサムウェアの継続的な脅威、そしてサプライチェーン攻撃やビジネスメール詐欺(BEC)がより巧妙化し、“サイバー犯罪ビジネス”として拡大していくという点です。
“クラウドに特化した攻撃が主流に”と予測したベンダーもありました。前半のMicrosoftの発表でも“ハイブリッドワーク”のキーワードが出ていましたが、環境を選ばないワークスタイルでは、クラウドが情報基盤として機能します。最近の情報流出のインシデントでも、クラウドのID・パスワード盗用による不正アクセス、設定ミスによる漏えいは多発しています。
セキュリティシステムの対象をクラウドに拡げることは、当然の備えとして多くの企業が実践していますが、2023年はクラウドに特化した攻撃にも備えた点検と補強が求められるようになるかもしれません。
ダークウェブの動きにも最大級の警戒を
冒頭でサイバー保険が高額化する要因として、セキュリティインシデントの深刻な被害が周知された点が挙がっていましたが、実態を知らしめたのはランサムウェアでしょう。世界で被害が拡がり、守る側の研究機関やセキュリティ企業が技術開発と啓発に力を注いでも、鎮静化する兆しはありません。他の攻撃手法と組合せやすい、手口が巧妙化しているなど、複数の要因がありますが、一般企業にできることは、攻撃の動向を常にチェックしながら、教育も含めて基本的なマルウェア対策を実践することに行き着きます。
ランサムウェアやビジネスメール詐欺(BEC)、サプライチェーン攻撃が鎮静化しない要因の一つは、この点も複数のベンダーが挙げていましたが、ダークウェブという闇サイトの存在です。特にランサムウェアは、標的の選定、プログラムの用意、データの暗号化、脅迫、データの暴露、身代金の取り立てなど工数が多いため1人での犯罪成就は難しく、ダークウェブでそれぞれの担当の募集が行われています。同様の動きがBECにもあり、“BEC as a Service”も確立しているようです。
ダークウェブから侵害されたデータを検知(Dark Tracer)
複数の組織が挙げていたもう一つの要素は、攻撃側のAI・機械学習の悪用です。セキュリティソフトの構造解析、標的企業のシステム設定の分析、ゼロデイ攻撃のターゲットの選別など、AIが悪用できる分野は多く、行動の迅速化につながっていくことは否めません。
2023年、皆さまの企業においても、特にクラウドセキュリティの強化、ランサムウェアやサプライチェーン攻撃、BECの継続的な脅威、そしてダークウェブをバックボーンとした犯罪グループの動きには、特に注意を払うようにしてください。