セキュリティ10大予測 2023年

世界中の組織が年末に向けて着々と準備を進め、終わりゆく1年を振り返ろうとしています。これは、過去から学び、これまでのやり方を評価し、新たなやる気を持って前に進むための重要なプロセスです。

このブログでは、2022年に起こったことに加え、2023年のサイバーセキュリティに影響を与えるトレンドや予測について見ていきます。ここには、深刻度が増すと予想される既存の問題や、セキュリティを強化するための先進技術の採用の増加、サイバーセキュリティの脅威に対するエンタープライズの姿勢、対応、修復の変化などが含まれます。

以下の2023年の10大予測とトレンドが的中した場合、ITやセキュリティチームは去年以上に気を引き締める必要がありそうです。

2023年セキュリティ10大予測

....をさっそく見ていきましょう。

1. IoTデバイスの普及とともにセキュリティ上の懸念がアップ

IoTデバイスはセキュリティが脆弱または欠如していることで有名ですが、ウェアラブルデバイスやデジタルサイネージ、スマートホーム用のデバイスが急増するにつれ、デバイスやユーザ、企業や個人のデータを脅威から確実に守ることは、ますます困難な課題となっていくでしょう。実際、デフォルト設定、古いソフトウェア、脆弱なパスワード、データ保護プログラムなど、IoTデバイスに影響を及ぼす深刻な脆弱性の中には、IoTのセキュリティに対する一般的な理解不足や、接続プロトコルの誤った管理に根ざしているものが少なくありません。

こういった問題は氷山の一角に過ぎないと言われていますが、2025年までに使用が推定される400億台以上のIoTデバイス に上記のセキュリティ脆弱性（やその他の懸念事項）が存在すると考えれば、IoTデバイスによるリスクが今後も増大し続けるのは間違いなさそうです。また、このような莫大な数のデバイスから生成されることが理論的に可能なデータの合計はなんと794ゼタバイト（ZB）にものぼります。

留意すべき点： 1ゼタバイト（ZB）＝ 1,000,000,000テラバイト（TB）

2. 今後も困難を極めるリモートやハイブリッドワーク環境におけるデータのセキュリティ確保

数年前にパンデミックによって世界の多くの地域がロックダウンを経験して以来、できるだけ安全な方法で業務を続けるために、世界中の多くの組織がリモートワークやハイブリッドワークへのシフトを決行しました。これにうまく対応できた組織もあれば、リモートの脅威から組織データを保護することに未だ苦労し続ける組織も存在します。

クラウドのパワーを活用して、異なるオーナーシップモデルのモバイルデバイスを柔軟に管理し、プライバシーを守りながらエンドポイントセキュリティを維持するソリューションが存在する一方で、それぞれの組織には独自のニーズがあり、明確なデータ保護戦略を練るためにはさらにいくつかの障害を乗り越える必要があります。

3. 選挙の影響で国家や政府を狙った攻撃が増加

2023年、攻撃者たちは政治の舞台に注目するでしょう。選挙を妨害し、世界中の国家や地域のインフラや組織を攻撃しようとする悪質な攻撃者が、国家の後ろ盾と共に現れることが予想されます。世界中の民主的機関を支援する非営利・無党派の組織である米国民主党国際研究所（NDI）によると、攻撃者たちは2023年に予定されている多くの選挙の動向を注意深く見守っています。

Sectigo社でCSO兼CISOアドバイザーを務めるDavid Mahdi氏は、「今日もっとも強力なサイバー国家のいくつかで地政学的な混乱が起こっており、サイバーセキュリティのインフラが危機に瀕しています。国家を後ろ盾とする攻撃者たちが国の重要なインフラを脅かし、サイバーセキュリティの混乱を起こしているのです」と述べています。

選挙が国家の後ろ盾を受けた攻撃者やハクティビストたちの熱い注目を集めてきたのは紛れもない事実です。近年、緊迫した政治情勢が続いていることや、2023年に選挙が数多く予定されていることから、政府やエンタープライズを狙った攻撃や、それらの支援を受けた攻撃はますます加速すると予想され、サイバーセキュリティの底力が試される1年となるのは間違いなさそうです。

4. エンタープライズでサイバーセキュリティの脅威に対抗するためのAIの活用が加速

最近のYahooのレポートによると、人工知能（AI）とそれに関連する機械学習（ML）は、2030年までに23.5％および280億9000万ドル以上の莫大な成長が予測されています。これらは、多くの業界に眠る未知の潜在能力を解放し得るアプリケーションを生み出す高度なテクノロジーであり、サイバーセキュリティもその恩恵を受けることになりそうです。

SF映画に出てくるようなテクノロジーとまではいかなくとも、企業はすでにAIやMLの強力な機能を活用した行動分析でデータストリームを分析したり、システムの挙動に未知のマルウェアや不審な行動などのパターンが見られるかどうかを判断するための知識を得ています。では一体、この先に目指すものとは何でしょうか？脅威インテリジェンス情報を収集してエンドポイントセキュリティソフトウェアに提供し、必要な制御の適用や修復ワークフローの実行を通して、デバイスをセキュアに運用し脅威を軽減することです。

AIとMLが人間の能力をはるかに超える速度でデータを取り込み処理する能力は、隠れたサイバー脅威を探し出すために不可欠な要素であり、パターン検出のアルゴリズムはシステム内の構成やアプリ、セキュリティの脆弱性を明らかにしてくれます。

さらに、攻撃を正確に検出し対応するAIの能力により、どのような対応を優先させるべきかを計算し、効果的かつ効率的な防御を自動化できるため、より迅速に攻撃に対抗することが可能です。人間の介入が必要になったり、有効性に影響が出ることもありません。

5. セキュリティ意識をめぐる文化の浸透

インターネットなどを使って手軽にあらゆるデータにアクセスできるようになった今、一般的な脅威やユーザを狙った詐欺について認識することで、それらの脅威を効果的に最小化できると考える人は多いでしょう。残念なことに、フィッシング攻撃がもっとも一般的な脅威である事実に変わりはありませんが、セキュリティを意識する文化がエンタープライズで浸透してきたこともあり、このことに必ずしも悲観することはありません。

「成功したデータ侵害の91％はスピアフィッシング攻撃から始まっている」KnowBe4

このことは、ユーザがよりセキュリティに精通し、仕事やプライベートで日々直面する脅威に対処するための知識を得ていることを意味するため、良いニュースと言えます。組織とユーザの双方がセキュリティトレーニングの重要性を認識するようになった今、セキュリティを意識する文化を組織内で確立し、ひいてはリスクを軽減する手段として、組織はKnowBe4のようなサービスを利用したセキュリティ知識の強化や行動の見直しに努めています。

6. ユーザのプライバシー保護が全体的なセキュリティ戦略の最優先事項に

データセキュリティは、業務の妨げや個人情報などの保護されるべきデータの漏洩によって生じる法的責任、社会的認識や評判への影響など、様々な観点から組織にとって極めて重要なものです。また、これまでも機密データとして扱われてきた個人を特定できる情報（PII）に加え、最近提案された州法 や特定の地域における規則（ヨーロッパのGDPRなど）の変更により、企業のセキュリティ戦略においてその重要性が高まっています。

さらに、BYODモデルの一環として個人所有のモバイルデバイスが使用されることが多いリモートワークやハイブリッドワークの環境などではユーザのプライバシー保護が何よりも大切になるため、個人情報を保護する戦略を優先し、組織の深層防衛セキュリティ戦略に組み込むことによって、ユーザのプライバシーを損なわずに会社のデータを確実に保護し、ついでにコンプライアンスを確保することが求められるでしょう。

7. ますます注目が集まるパスワードレス認証のワークフロー

これまで散々使われてきたパスワードですが、これがエンドユーザの次にセキュリティを脅かす第2の要素であることは間違いありません。パスワードを付箋に書いてキーボードの下に隠したりモニターに貼り付けたりせず、大文字と小文字、記号、数字を混在させた複雑なパスワードを作成するというベストプラクティスに従うユーザがいる一方で、多くのパスワードを覚えることを面倒に感じるユーザが数多く存在するのも確かです。

しかし、どんなに厳しいパスワードポリシーを適用したところで、ユーザがソーシャルエンジニアリングの手法に引っかかって認証情報を渡してしまっては意味がありません。では、パスワード関連の攻撃から身を守るにはどうしたらいいのでしょうか。それは簡単です。パスワードの必要性を取り払ってしまうのです！

パスワードレスのワークフローはまさにこれを実現しようとするものです。Secure Enclave にセキュリティ証明書が保存され、デバイスの暗証番号やFace ID/Touch IDなどの認証方法を備えた信頼できるデバイス（例えば多くの人が持っているiPhone）と多要素認証（MFA）を組み合わせて活用することで、新たな認証プロセスを構築し、ユーザ体験を単純化すると同時に、「不正アクセスの 80％以上の発生源」である認証情報の漏洩がもたらすリスクを最小化することができます。

8. 管理フレームワークとセキュリティフレームワークの融合

フレームワークは、あらゆるライフサイクルを管理する上で非常に重要な要素です。デバイス管理、アプリケーション、ソフトウェア開発、セキュリティなどあらゆる分野において、フレームワークは、成功とその継続を実現させるためのあらゆる要素を構造的かつ簡潔にひとつの傘の下に網羅しています。

セキュリティの場合、目標は単純ですが、それを達成するのは困難です。深層防護戦略のそれぞれの構成要素に安全なプロセスを組み込み、混乱を最小限に抑えながら、データセキュリティを確保し、規制へのコンプライアンスを最大化する必要があります。

デバイス管理の場合、その目標は組織のニーズによって異なる可能性がありますが、一般的に達成するのは簡単です。コンプライアンス目標の監査のためにデバイス管理ソリューションの中核となる各コンポーネントを可視化し、エンドポイントが常に監視されている状態を維持し、その健全性の維持に対する今後の方向性を決定するために必要な指標を収集することで、よりシンプルなデバイス管理が可能になります。

この2つは同じ鞘の中の2つの豆のようなもので、融合してしまうのがベストです。 これは、デバイス管理、アイデンティティ統合、エンドポイントセキュリティのソリューションを連動させ、それらをAppleフリートの一元的管理のための包括的なエンドツーエンドソリューションとして位置付ける総体的なセキュリティアプローチと言えます。

9. 今後も組織に影響を与え続ける、サプライチェーンの脆弱性を悪用したサイバー攻撃

サプライチェーンに対する攻撃はほぼすべての人にとって非常に迷惑です。

「CIOの82％が自社のソフトウェアのサプライチェーンに脆弱性があると考えている」Venafi

サプライチェーンが攻撃を受けると、それを提供する組織だけでなく、間接的な影響により他の企業のセキュリティポスチャに致命的な影響を与える可能性があります。

これらのサイバー攻撃の影響は、政府や企業、重要インフラにまで拡大しており、防御が非常に重要であるだけでなく、Gartner社が行ったサプライチェーンにおけるサイバーセキュリティの調査によると、「44％の組織がこの種の攻撃に起因するリスクを効果的に軽減するために前年よりも膨大に予算を倍増させている」ことがわかっています。

大規模な組織ほどリスクが高くなることが過去の攻撃から明らかになっていますが、サプライチェーンへの攻撃はあらゆる種類と規模の企業に影響を及ぼします。一言で言えば、「サプライチェーンにおけるサイバーセキュリティは、ITだけの問題として捉えることはできない」ということです。これはアメリカ国立標準技術研究所（NIST）が提供するガイド「Best Practices in Cyber Supply Chain Risk Management guide」においても言われていることで 、セキュリティ侵害から組織を守る上でユーザやプロセス、知識を強化することの重要性を表しています。

10. リソースへのアクセスを許可する前にデバイスと認証情報の健全性を確認するゼロトラストがさらに人気を獲得

あなたの組織のデータのセキュリティが、データにアクセスするデバイスのセキュリティとは関係ないとしたらどうでしょうか？つまり、自分や同僚のコンピュータのセキュリティレベルとは無関係に、データが安全な空間で保護されているのです。そして、この安全なシステムに収められたデータへのアクセスをリクエストした場合、あなたが決められた基準を満たしていることが確認されるまで、そのリクエストは許可されません。保護されたデータへのアクセスはデフォルトで拒否されます。したがって、これらの基準のいずれかが満たされていない場合、すべてが満たされていることが証明されるまでアクセスは拒否されたままとなります。

これこそがゼロトラストの仕組みです。「決して信用せず、常に確認する」は、ゼロトラストを中核に置いたセキュリティモデルをもっともよく表したキャッチフレーズです。「内部ネットワークは信頼できる」というこれまでの考えや、管理対象デバイスは必然的に非管理対象デバイスよりも高いレベルの信頼性を持っているという考え方はもう古いのです。ゼロトラストの概念はシンプルです。すべてのネットワークトラフィック、デバイス、ユーザは、どこからアクセスを要求しているかにかかわらず、信頼できないものとみなされます。

データ、アプリ、サービスなどの保護されたリソースへのアクセスを得るためには、最低でも、クラウドベースの認証情報を使用しており、さらにアクセスを要求しているデバイスがセキュリティ侵害を受けていないことが確認されなければなりません。リソースへのアクセスが要求されるたびに行われるこのデバイスの健全性チェックでは、エンドポイントセキュリティソフトウェアがインストールされているか、マルウェアが存在していないか、最新のパッチが適用されているか、データセキュリティの担保において重要であると考えられる他のセキュリティ要件を満たしているかなどが確認され、場合によってはもっと多くの事項がチェックされることもあります。

これらのトレンドが来年あなたの組織に与える影響についてもっと知りたい、または不安がある方はお気軽にJamfまでご相談ください。