アジア太平洋地域における2023年のサイバーセキュリティ業界の予測を公開
(ISC)²、ワイパー型マルウェア攻撃、OTインフラの脆弱性、サイバーセキュリティスキル不足の深刻化が上位トレンドになると予測
世界最大のサイバーセキュリティ専門家資格の非営利団体である(ISC)²は、2023年のサイバーセキュリティ業界の動向とトレンドに関する予測を発表した。(ISC)²の予測では、差し迫った景気後退の可能性に起因するサイバーセキュリティスキル不足の深刻化や、オペレーショナルテクノロジー(OT)インフラの安全確保における抜け穴など、アジア太平洋地域が2023年に直面することが予想されるサイバーセキュリティの喫緊の課題を浮き彫りにしている。
(ISC)²の最高情報セキュリティ責任者(CISO)のジョン・フランス(Jon France)は、次のように述べている。
「2023年は、アジア太平洋地域全体のサイバーセキュリティに対する決断力が徹底的に試される年になります。サイバーセキュリティの脅威の範囲と規模は、常に進化を続けており、企業や政府においては、不確実な金融情勢を切り抜けると同時に、その変化の速度に合わせて先手を打つことが重要です。同地域では、サイバーセキュリティ人材の不足が約340万人に昇り、2023年にはさらに悪化する見込みであり、これらの課題はさらに深刻化することが予想されます。当社の予測を通じて、私たちはアジア太平洋地域における一連の重要な課題を特定しました。当社の予測が、企業や政府が今後直面するであろう苦難に備えるための指針となることを期待しています」。
サイバー保険の需要が高まっていく一方で、加入はより困難に
サイバーセキュリティに対する意識向上にはメリットとデメリットがある。その一つがサイバー保険の保険料の高騰であろう。世界のサイバー保険市場は、2022年の119億米ドルから、2027年には292億米ドルに達すると予測されている。コンプライアンス違反による罰金の増加や、規制・制度環境の整備を考慮すると、アジア太平洋地域におけるサイバー保険に対する需要は高まる一方。この主な要因は、ランサムウェア攻撃、データ漏洩、脆弱性の悪用など、セキュリティインシデントによる経済的・風評的なリスクに対する認識が高まったことにある。
同時に、保険業者もサイバー保険への加入の要件をより厳格化しており、二要素認証やEDR、XDRなど特定の技術を採用することを求めるようになってきている。加入要件に関する文書は、以前は2ページの質問票であったが、現在は全面監査を目的とした12ページ以上ある文書になっている。これらのことから、サイバー保険の保険料の高騰や加入要件の厳格化は、2023年に注視すべき興味深い障害になる。
他方で、サプライチェーン問題の発生率の高まりにより、サイバー保険の需要が増加することも見込まれる。このような問題により、今後、企業は取引先や第三者機関に対して何らかのサイバー保険の加入を義務付けるようになることが想定される。地政学的な問題が国境を越えて波及し、企業が常に直面しているサイバー脅威と相まって、企業は最も重要な資産(評判を含む)を守ることを優先するようになると思われる。サイバー保険の需要は引き続き拡大し、2023年は価格が高騰し加入条件も厳しくなることが想定される。
量子技術の実用化は目前で、2023年には対応することが課題
クオンタム・レジリエントなインフラを構築することは、官民セクターともに想像以上に困難になっていく。量子技術に関する主要な懸念事項のひとつに、国家安全保障が挙げられる。政府には通常、何十年にもわたり続いている秘密保全規則や機密情報管理指針等がある。これらのガイドラインの中には、技術の進化に伴い、量子コンピューティングの脅威にさらされる可能性があるものも含まれている。
これらの指針に基づく情報の多くは、耐量子とは言えないアルゴリズムで送信されている(暗号化された状態で補足される可能性もあります)。今後5年から10年の間に、量子技術が商用化される可能性が高まっており、これは国家の最高機密を守るために用いられている過去の、時代遅れの暗号化アルゴリズムにとって真の脅威となりえる。
将来、量子コンピューティング技術を用いれば、既存の様々な暗号化方式が無意味になってしまう速度で、複雑なバリケードを突破できるようになるであろう。民間企業にとっても、企業秘密、知的財産、財務データなどは、悪意ある攻撃者が量子コンピューティングの能力を身に着け重要な資産を保護している暗号を破れるようになった場合、同様のリスクにさらされることになる。量子技術に備えたサイバーレジリエンスの構築は、10年前に始めることもできたが、今は史上2番目に良いタイミング。
2023年には、クオンタム・レジリエンスに関連する課題について、官民セクターの双方が認識を高めていくことであろう。また、量子コンピューティングに備えるための取り組みも、より明確に始まっていくことと思われる。
現在、情報の安全性を担保している通信ネットワークの暗号インフラストラクチャの多くは、深く埋め込まれたもの(証明書など)であり、クオンタム・レジリエント・アルゴリズムへの移行には何年もかかることが見込まれる。量子コンピューティングが一般に普及する前に移行を行うには、時間的な問題がある。
ワイパー型マルウェア攻撃が増加
ランサムウェアに似たマルウェアであるワイパー型マルウェアは、約10年前から存在していたが、2022年にはワイパー型マルウェアの攻撃件数の急増が確認された。ワイパー型マルウェアが用いられる理由は、特にロシアとウクライナの間で勃発しているような戦争時に被害者を妨害するためであることがほとんど。ロシアを制圧する力を弱めることを目的に、7種類のワイパー型マルウェアがウクライナの組織を攻撃するのに使用された。ロシア・ウクライナ戦争が続く2023年には、国家主導のワイパー型マルウェア攻撃が増加することが予想され、また世界的に普及したことにより今後紛争が勃発した場合に他国がこの攻撃を利用することが予想される。さらに、ワイパー型マルウェアの増加に伴い、ランサムウェアやワイパー型マルウェアの配布経路として最も一般的であるフィッシング攻撃も増加することが予想される。
産業界はOTインフラセキュリティの重要性を過小評価し続ける
オペレーショナルテクノロジー(OT)は、最もターゲットにされやすく、最も優先順位が低い技術分野の一つ。OTは攻撃の標的となりやすく、重要なインフラシステムに深く浸透しているため、サイバーセキュリティの変化の速度についていくのに苦慮している。これらのシステムは、従来のITシステムに比べ、より広範囲の人々に、より具体的かつ現実的な影響を与える。
しかし、その多くがライフサイクルや交換サイクルが長く、すぐに時代遅れになってしまうレガシーシステムの上に構築されており、パッチ適用が危険だったり、そもそもパッチを「適用できなかったり」するケースが少なくない。これはインシデントが広範囲かつ物理的な影響を及ぼす可能性があるため、ハッカー、特にネイションステイトアクターにとっては格好の攻撃対象になってしまう。ロシア・ウクライナ戦争や中国・台湾間で高まっている緊張は、OTシステムに対する潜在的な脅威を増幅させる。OTシステムを保護することは、ゼロトラストの導入や、より規制を設けること、パッチの適用要件を増やすことなど、システムに「新しい」技術を強制することではない。それは資産の可視性を高め、緩和策を実施し、レジリエンス計画を構築することである。これは最悪の事態が発生した場合に、ダウンタイムと影響を軽減するためのものなのである。2023年には、これらのシステムの安全性を確保するために必要なことについて業界が誤った認識を続け、そのために重要なインフラへの大規模な攻撃が発生する可能性が高いと思われる。
不況により研修プログラムへの支出が減少
サイバーセキュリティ業界は不況の影響を受けない産業という見方があるにもかかわらず、不況の時期には人材や品質が打撃を受ける可能性がある。現時点ではサイバーセキュリティのコア予算の削減は起こっていないが、トレーニング予算などの、より「裁量的」な部分は縮小される可能性がある。ここには、あらゆる規模の企業におけるセキュリティ意識向上のためのトレーニングや重要資産を適切に保護する手段に関するサイバーセキュリティ専門家のトレーニングの両方に当てはまる。サイバーセキュリティ業界は、すでにスキル不足に直面しているが、残念なことに2023年に不況が本格化すると、熟練したサイバーセキュリティ従事者の需要が高まるため、スキル不足が深刻化することが予想される。