セキュリティの
学び場

今回の解説ニュース

ゼロトラストやセキュリティサービスエッジなど、サイバーセキュリティに関する未来予測について発表されています。発表されている仮説から主要な内容を抜粋して説明します。

今回の発表では、セキュリティ／リスク・マネジメントのリーダーがデジタル時代で成功を収めるために押さえておくべき主要な仮説を解説しています。

2023年以降に向けたサイバーセキュリティに関して注視すべき主要な仮説は

• ・2023年末までに、ユーザーのプライバシー権のうち世界の50億人、世界のGDPの70%以上が、政府規制の対象となる
• ・2025年までに、企業の80%は、Web、クラウド・サービス、プライベート・アプリケーションへのアクセスを、単一ベンダーのSSEプラットフォームに集約する戦略を取る
• ・2025年までに、組織の60%は、セキュリティの出発点としてゼロトラストを採用する。しかしその半数以上がゼロトラストのメリットを得られず失敗する
• ・2025年までに、組織の60%は、サードパーティとの取引やビジネス契約における意思決定要因として、サイバーセキュリティ・リスクを重視するようになる
• ・2025年末までに、ランサムウェアへの支払い、罰金、交渉を規制する法案を可決する国家の割合は、30%に上昇する
• ・2025年までに、攻撃者はオペレーショナル・テクノロジ環境を武器にして、人的被害を与えるようになる
• ・2025年までに、CEOの70%は、サイバー犯罪、異常気象、内紛、政情不安による、同時発生的な脅威を切り抜けるために、組織的レジリエンスを重視する文化を必須とする
• ・2025年までに、サイバーセキュリティ委員会を取締役が監督する企業の割合は、40%に上昇する

の8つです。

なぜ「ゼロトラストは失敗する」という仮説が立てられるのか

ゼロトラストが失敗すると考えられている理由の一つとして、ゼロトラストという言葉が先行して広まっており、ゼロトラスト自体が目的化してしまうことが考えられます。

今回の発表では、「ゼロトラストはセキュリティの原則であると同時に組織のビジョンでもあるため、そのメリットを享受するには、文化面の転換と、ゼロトラストをビジネス成果と結び付ける明確なコミュニケーションが必要」とされています。また、ゼロトラスト移行のすゝめでも、「ゼロトラストとは概念であり、唯⼀無⼆の正解という構成はない。なぜなら組織が抱える課題はそれぞれ異なるから」とされています。

これらから分かるように、ゼロトラストを導入することが目的化してしまい、セキュリティの課題を解決するに至らないことが考えられます。よって、ゼロトラストは、セキュリティの課題を解決する手段として、運用とセットで考えることが求められます。

近い将来、攻撃者はオペレーショナル・テクノロジ環境を武器とする？

オペレーショナル・テクノロジとは、OTと略される社会インフラや工場などで使われる制御技術です。IoTの普及によりITとの融合が進む中で、一般的なITとは想定される脅威やセキュリティ対策が異なることから、甚大なインシデントにつながる可能性があるとされています。

今回の発表では、「機器、資産、プロセスを監視または制御するハードウェアやソフトウェアであるオペレーショナル・テクノロジへの攻撃が、より一般的に、そして、より破壊的になる」とされています。電気、ガス、水道などを制御するOTがITと融合されることによって、我々の生活は便利で豊かになりました。一方で、ネットワークへの接続を前提としていないOTが多く、想定される脅威については見直す必要があります。具体的には、ITでは頻繁に発生するDDoS攻撃も、OTで発生した場合は社会インフラ停止という、物理的な被害が発生することを想定しなければなりません。

今回の発表でも、「情報の窃取よりも、むしろ人間や運用環境への現実的な危険について、懸念すべき」とされています。場合によっては人命も関わるインシデントとして、OTのセキュリティには向き合っていく必要があると考えられます。

今回は、セキュリティの未来予測についてお届けしました。あくまでも仮説ではありますが、十分に想定される未来でもありますので、ご覧の皆さんも参考にしてみてください。