前回の第30回ブログでは、新任CISOが、役員会議で「サイバーリスクトレンド」について5分間で報告する、ということが求められたと想定しました。そして、まず準備としての気持ちの整理から入り、スピーチ原稿を練る過程についてCISOの思考回路を疑似体験してみた次第です。

その後の、12月20日の本リスク対策.com主催による「リスクトレンド研究会」では、そのスピーチの骨格について、一枚もののプレゼン原稿と共にオンラインで視聴者の方々に共有させて頂きました。

実は、その際に参考にしたのが、12月7日配信のISFの「ISF年次脅威アップデート:2023年の新たな脅威」というオンラインイベント(題して”Cyber2023”)です。今でもオンデマンドで一般公開されています。興味深い内容ですので、お時間がございましたら、ご覧頂ければと存じます。

そこまで時間が取れないという方のために、今回のブログでは、このイベントにおけるSteve Durbinのスピーチを文字に起こし、あたかもCISOである私が役員会でした話をメモにしたかのような体裁に置き換えて、その概要を共有することにします。
 

(ここから引用)

2023年のサイバー問題

Published: 07th December, 2022
SOURCE:ISF
Steve Durbin, Chief Executive, Information Security Forum

(Image: The ISF)

2022年の振り返りと2023年の見通し

今日は、2023年のサイバー問題についてお話しします。まず今年を振り返り、次に、今後どのようなことが起きうるのか、という流れでお話ししてみたいと思います。

2022年は、パンデミックから抜け出すことができた年と言ってよい一年となりました。また、ビジネスがより一層デジタル化される中で、多様な変化も目にすることになりました。在宅勤務が導入されたことで、オフィス環境で行われていたコントロール手段は失われ、物理的にもデジタル的にもセキュリティ上のさまざまな問題が混在するようになりました。この流れは、2023年も続くでしょう。ただ、人工知能の導入は、ビジネス環境と同様に、セキュリティの分野でも進むでしょうから、もう少し効率的な対策もできるようになると期待しています。

また、好むと好まざるとにかかわらず、今後、より複雑な規制が制定されていくでしょうし、地域横断的にグローバルに事業展開する会社においては、問題は複雑さが増していくでしょう。

つまり、2022年に見られたような、労働環境の変化、規制の強化、そしてサイバー犯罪の増加は、2023年にも同様にあるだろうと予想されます。こうした流れの中、サイバーセキュリティは、よりリスクが高い問題を扱うことになり、従ってより複雑になり、さらにコストがかかるようになってしまうことは間違いありません。

それでは、2023年にサイバーセキュリティ部門として対応を進めていかなければならない、現在の重要問題を順に4つ挙げることにします。

1.サイバー襲撃の継続的成長
― ランサムウェア攻撃サービス、に加えてサイバー傭兵。

まず1つ目は、もう誰も驚かなくなってしまった問題です。2021年に起きたサイバー攻撃では、非常に有名な企業が襲撃されています。つまり、サイバー攻撃の対象は、企業規模の大小とは関係ないということが明らかになりました。2022年には、何かしらの価値を保有する企業であれば、サイバー犯罪者の標的にされる、という状況になりました。また、業界で考えてみると、ヘルスケア関連業界は2023年になっても相変わらず標的にされるだろうと思われます。なぜならば、この分野はソフトターゲットと呼ばれており、資金があればセキュリティより健康サービスへの支出を優先せざるを得ないからです。

また、ランサムウェア攻撃だけでなく、データ窃盗も続くでしょう。マリオットホテルではこの数年の間に何度も攻撃を受けており、2022年には3度目の大量データ流出に見舞われました。企業ネットワーク侵入によるデータ窃盗はトレンドになっていると思われます。データは、すぐに使われないかもしれない。闇市場で売られるかもしれない。ただ、とにかく、まず盗まれる。将来的に、これは顕著な特徴になるでしょう。指数関数的に増え続けるデータの価値が、明らかに巨大になっているからです。

さらに、民間企業に留まらず、2022年には公共部門も攻撃に曝されました。もはや官民という区分に意味はないのです。情報を持っていたり、一定の情報サービスを提供していたりする場合には、標的になってしまいます。あるいは何等かの理由によりどこかの国家の標的にされてしまうということもあります。そうすると、データ窃盗が頻発する環境ということになります。コスタリカで発生したContiランサムウェア攻撃を始め、ランサムウェアは情報を狙った攻撃ではありますが、ツールはランサムウェアに留まりません。ドローンを使ったネットワーク侵入も確認されています。特に、ドローンの盗聴器としての利用形態は、2023年には現実化すると思われます。

今までとは少し違う点は、「犯罪サービス」や「ランサムウェア攻撃サービス」といったビジネスとしてのサービスを利用した犯罪から、「サイバー傭兵」の台頭へと移行することでしょう。つまり、実際の攻撃を仕掛ける際に仕事を請け負うプロを雇うのです。もちろん、国家が第三者を通じて傭兵のスポンサーとなり、背後に隠れたまま自らの攻撃だとは決して認めないケースも見受けられるでしょう。いずれにせよ、サイバー傭兵というのは、おそらく少し新しい形の襲撃スタイルだと思われます。

それでは、セキュリティパッチやポリシー、プロセス以外にセキュリティ部門ができることは何かというと、従業員を十分に訓練し、賢い企業はこの種のインシデントに対してどのような対応をしているのかを理解させることです。インシデント対応演習を実施していた企業では、そうでなかった企業での損失に比べて、かなりの金額を節約できたことが判っているからです。

いずれにせよ、サイバー襲撃は2022年にも重要課題でしたが、2023年も引き続き取り組み強化領域としてあり続けると思われます。