2017年のサイバーセキュリティ予測

2016年はサイバー攻撃が新聞の見出しをにぎわした年でした。サイバー脅威の魔の手は世界中のあらゆる業界に及んでいます。クリティカルなインフラサービスを巻き込むサイバー戦争や大規模なデータ侵害でEメールやデータが盗まれ、クリティカルなITシステムのコントロールを乗っ取るブラックマーケットのランサムウェア攻撃では、身代金が払われまでリリースされません。

2016年には20億件以上の記録が盗難被害に遭いました。ヒラリークリントン候補の選挙キャンペーンや米民主党全国委員会(DNC)における情報やEメールのハッキングは2016年に企業や個人を混乱させたハッキング行為のうち、特に注目を浴びたほんの一握りにしか過ぎません。Yahoo、LinkedInなどの企業へのデータ侵害やその他の多くの被害は何百万件もの個人情報(PII)です。PPIとは、個人のアイデンティティを区別し、トレースするために使われる個人データでのことです。PIIには氏名、社会保障番号、生態認証記録、などの項目だけでなく、個人の写真画像、指紋、筆跡、顔の形状、パスポート情報、クレジットカード番号なども含まれます。

サイバー脅威をめぐる状況はハッキングやデータ侵害から広がって来ています。国家間のサイバースパイ活動への懸念は、国境を越えた攻撃で無数の政府機関を巻き込みながら、今後さらに増えるでしょう。これは単なるデータやハッキングではありません。ロシアのハッカーによって行われたウクライナ送電網へのサイバー攻撃のように、重要なインフラサービスも攻撃の対象となっています。データセンターや従来のようなエンドポイントから、IoTデバイスやコンピューターでシステムの監視や動作プロセスの制御を行うSCADAネットワークへと攻撃は拡大しています。

2016年にはサイバー犯罪者によるランサムウェアやDDoS攻撃も増加しました。攻撃の停止やロックされてしまったファイルの救出と引き換えに金銭を巻き上げると脅すのために使われました。こうした攻撃は公益事業業者や医療機関といった社会インフラにとって極めて重大な課題となりました。

2017年の脅威の見通し

こうした背景をもとに、2017年を迎えるにあたり、業界を問わずあらゆる規模の組織で戦慄が沸き起こっているに違いありません。2016年に見てきたことの多くは2017年には複雑さと範囲においてさらに進化していくことでしょう。サイバー犯罪者は金の流れを追及し続け、ランサムウェアやDDoS攻撃はさらに範囲、深刻さ共に増すことでしょう。2017年に組織がとりわけ関心をむけるべき点を以下に挙げます。

1. クラウドをターゲットとした先進の脅威

先進の脅威は境界防御をうまく回避し、マルウェアやランサムウェアを使って機密データを人質として抽出保持するような形にシフトしてきています。近年は極めて個人に特化したものになっており、企業ネットワークやクラウドアプリに含まれる基本的なセキュリティコントロールによる検知をうまくすり抜けられる能力が増しています。2017年クラウドアプリやクラウドサービスの普及が加速するに伴い、欠くことのできないサービスやデータが組織のコントロール外に押し出されることになり、情報で運ばれた漏洩や悪意ある攻撃の進入リスクも増えるでしょう。

2. ランサムウェアの進化: データの改ざんとバックアップの破壊

ランサムウェアは単純なマルウェアからもっと恒久的な攻撃へと進化しています。組織がランサムウェア攻撃を阻止する方法のひとつは、しっかりとしたバックアップ計画を持つことです。具体的に言えば、暗号化されたデータを置き換える能力を持つことによってデータを強奪しようとする試みを無効にできるのです。しかし、サイバー犯罪者の側もより巧妙になっており、暗号化の前にバックアップを求めるようになって来ています。ほとんどの試みはローカルのバックカップに集中していますが、クラウドバックアップにも広がり、データの改ざんや消去にさえ及んでいくだろうことが確実視されています。脅威というものは認識不能なのです。オンプレミスで通用する方法はクラウドでも通用します。適当な時期に、あるいはたとえ身代金の支払いを受けた後であっても機密情報のデータの開放や再暗号化に応じないサイバー犯罪者は増加しています。サイバー犯罪者を信じてはなりません!

3. GDPRコンプライアンスのビジネスへの影響

EU一般データ保護規則(GDPR)の施行は2018年の5月ですが、2017年にサイバーセキュリティにインパクトを及ぼす可能性は極めて高いといえます。世界のどこの企業であっても、EU市民の個人情報を扱う企業ならすべてGDPRの対象になります。GDPRに備えるには、組織は現在と将来的な個人データのプロセスについて包括的な監査を実施し、個人データを守るためのソリューションを今すぐにでも導入開始しなければなりません。ハイリスクプロセスに関してGDPRが命じるデータ保護影響評価(DPIA: Data Protection Impact Assessments)では、適切であると認められる組織は2018年の施行に間に合うよう2017年のうちにプロセスを始めなければならないとされています。

4. データプライバシーとデータ侵害アカウンタビリティに関する需要の増加(サイバー保険)

データプライバシーに関する関心の高まりはEUに限ったことではありません。政府機関はデータプライバシーにより一層注目するようになっています。アメリカ連邦取引委員会(Federal Trade Commission)はセキュリティ上の失態や既存、新規に関わらずプライバシーに関わる法律の遵守を怠った企業に対する追及を活発化させています。データ侵害への説明責任が求められているとの認識から、多数の企業がサイバー保険に頼るようになってきています。サイバー保険の市場規模は2012年から2015年の間に倍になり、20億ドルに達しました。これが2020年までには60億ドルになるだろう、と市場アナリストたちはみています。データ侵害のリスクとその結果生じる金銭的な影響を認識して、経営者たちはデータ侵害が起きてしまった場合にビジネスを保護してくれる保険証券を探しているからです。

5. シャドーITはもはや放任できない

シャドーITに関して、組織は放任主義を取って来ました。非公式に(あるいは知らずに)、社員がDrop Box、マイクロソフトOneDrive、Slack、JIRA、Google Driveといったクラウドアプリやサービスを利用することを許して来たのです。ですが、クラウドサービスが使われたり、機密データがクラウドサービスから漏洩したりするのを知らなければ、リスクを知ることはできません。この問題はどれほど大きな問題なのでしょうか。平均すると、組織の環境で動作しているクラウドアプリとサービスはIT部門が許可しているものに比べて20倍です。自社の環境で動作しているクラウドアプリとサービスがいくつあるのか分からないという重役やITマネージャーは70%にのぼります。クラウドストレージやファイルシェア アプリケーションにはかなりの問題があります。4分の1がシェアされており、そのうちコンプライアンス関連のデータや機密データを含むものは12%もあるのです。

6. サイバースパイ活動とサイバー戦争

米国防総省は2016年「サイバーガード」と呼ばれるサイバー演習に参加しました。この演習は政府の部隊やサイバーセキュリティ将校を敵あるいは非国家の攻撃者によるインフラ攻撃の可能性に備えさせるのが狙いでした。その成果のひとつは改善を必要とする箇所をピンポイントで突き止められたことであり、同様のプログラムが2017年にも引き続き実施されることが計画されています。サイバースパイ活動とサイバー戦争は世界的な問題となっています。北朝鮮、中国、ロシアからと報告される攻撃は増加しています。こうした攻撃は、知的資本を盗むにとどまらず、ウクライナの送電線網がサイバー攻撃を受け停止したケースのようにクリティカルなインフラサービスに進入し、不正に操作を試みるものです。

7. ハクティビズムとコンテンツ検閲

2016年はハクティビズムに焦点が当たった年でした。その一例が米国の大統領選挙でした。2016年ピザゲートのような偽ニュースがソーシャルメディア上で増殖し、政治や社会面で新たに高まっています。そしてこの傾向は2017年さらに増大するだろうと推測されます。これに対抗するため、ソーシャルネットワークや外国政府によるコンテンツの検閲もまた増加し、コンテンツ検閲の是非についての議論が活発に行われています。

8. ウェブアプリとモバイルアプリ経由の漏洩の急増

モバイルセキュリティは深刻な問題となっています。新しいレポートによりますと、2016年には200以上のモバイルアプリとウェブサイトで個人情報漏洩が起きました。消費者やビジネスマンたちは財務情報を含む個人情報をモバイルアプリに置くようになっており、サイバー犯罪者たちは強い関心を持っています。

9. Eメールセキュリティ脅威

サイバーセキュリティ攻撃のうち91%がたったひとつのメールから始まっています。従来のアンチウイルスソリューションではフィッシング攻撃の検知や防御ができません。サイバー犯罪者たちは米国民主党とポデスタ選対本部長に対して仕掛けられたサイバー攻撃のように他のユーザーやシステムに対してアクセスし、フィッシング攻撃を楽しんでいます。同時に、犯罪者たちはメール経由でマルウェアを運んで足がかりを得て、知られることなく何週間、何ヶ月、あるいは何年も作業を行うことができます。これは企業のメールに限ったことではなく、企業ネットワーク上で開かれる個人の(ウェブ)メールでも起こります。

 2017年に向けて備えよう

2017年サイバーセキュリティ上の課題に打ち勝とうと望む企業や組織はかつてないほどのレベルの検査を実施し、サイバー防御を強化していかなければなりません。新規の脅威に対応するレベルというだけでなく、世界中の主要な政府機関や防衛部門に信頼されているレベルでなくてはなりません。つまり、組織内外をリアルタイムで行きかうデジタルアクティビティを検知、完全にサニタイズするというレベルです。

ガイ バンカー博士およびスコット コシウク、クリアスウィフト

関連記事

クリアスウィフトによる先進の脅威保護

ホワイトペーパー サイバー侵害に備える ~ 転ばぬ先の杖

EU一般データ保護規則(GDPR)の遵守