セキュリティの
学び場

今回の解説ニュース

2023年の情報セキュリティ十大トレンド予測について発表されています。発表されているセキュリティトレンドから考えられる社会への影響などについて説明します。

今回の調査は、JASAの公認情報セキュリティ監査人資格認定制度による認定を受けた情報セキュリティ監査人約1,800人を対象としたアンケートによって行われています。

2023年のトレンドは「大規模社会インフラシステム障害により増大するサイバーリスク」が1位に挙げられており、様々なITシステムがネットワークでつながることで、局所的なシステム障害が全国にまたがるネットワークの機能不全につながりかねないことが懸念されています。

出来ていないとどう影響する？中小企業のセキュリティ対策

中小企業のセキュリティ対策ができないことにより、社会全体でサプライチェーンリスクが顕在化してしまうことが懸念されます。

サプライチェーンリスクとは、委託先からの情報流出や、ソフトウェアの脆弱性によるインシデントなど、サプライチェーン全体に潜在するリスクです。主に、セキュリティ予算が限られている中小企業において、セキュリティ対策が不十分なことにより、リスクの顕在化が懸念されています。

例えば、皆さんが自宅の防犯を検討する際に、オートロックがあったり、防犯カメラがあったりすることが望ましいとは理解しながらも、セキュリティの充実したマンションの家賃は、相対的に高額であることは想像できるのではないでしょうか。先立つものがないとセキュリティ対策ができないことについてはITも同様です。

今回の調査でも、テレワークが急速に進展したことに伴い、サプライチェーンに組み込まれた中小企業においても、外部から求められるセキュリティ対策に応えていかなければならないということです。また、中小企業はIPAが公表している「中小企業の情報セキュリティガイドライン」を評価の基準として自己評価し、自社がガイドラインのどのステップにあるかを把握することから始めることが望ましいとしています。

普及が期待される「SBOM」、セキュリティにどう関係するのか

SBOM とは Software Bill Of Materials の略で、ソフトウェア部品表と訳されるソフトウェアの構成状況を明らかにする取り組みです。ソフトウェア開発や製品ベンダーが自らのソフトウェアの依存関係を明らかにすることで、関連する脆弱性情報を認識することができます。

例えば、Aさんがコンビニへランチを買いに行った際に、できるだけ添加物は避けたいと思ったとします。手に取った加工食品の裏側には、原材料名として占める重量の割合が高いものから順に、最も一般的な名称をもって表示することが義務付けられています。よって、避けたい原材料が含まれている場合は、Aさんはその情報をもって認識することが可能です。

SBOMも同様に、ソフトウェアに含まれるオープンソースやライブラリが何であるか、SBOMの情報を参照することによって認識することができます。2021年12月にLog4jの脆弱性が公開された際に、システムでJavaが使われていることは認識できていても、Log4jが使われていることは製品ベンダーへ問い合わせないとわからない状況が多く見られました。結果として、利用しているソフトウェアにLog4jの脆弱性が存在しているかどうか、直ちに認識することができなかったということです。SBOMの取り組みが進行することにより、深刻度の高い脆弱性が認識されずに放置されるのを防ぐことが期待されます。

今回は、発表されているセキュリティトレンドから考えられる社会への影響などについてお届けしました。