変化する脅威環境
現代のサイバーセキュリティ環境は急速に変化しています。セキュリティ対策を検討する上で重要なことは、まず脅威の現状を正確に理解することです。
本稿では、最新の脅威動向とデバイスセキュリティの重要性について考察し、社会全体での対応策について検討します。
ライフサイクル全体に広がる脅威のランドスケープ
サイバーセキュリティの世界では、防御と攻撃のいたちごっこが続いていますが、近年特に注目すべき傾向が現れています。まず挙げられるのは、技術的な防御が強化されるにつれて、攻撃者が完全な防御が難しい「人」に焦点を当てるようになってきたことです。システムそのものよりも、システムを操作する人の判断ミスや心理的脆弱性を突くソーシャルエンジニアリングやフィッシング攻撃が増加しています。これは従来の技術的対策だけでは解決が難しい問題を提起しています。
次に見逃せないのは、リモートワークやクラウドサービスの普及による「いつでもどこでも働ける環境」の一般化です。この変化は利便性を高める一方で、従来の境界防御モデル(社内ネットワークを外部から守る)の有効性を大きく低下させました。
企業データは社内サーバーだけでなく、クラウド、モバイルデバイス、従業員の自宅など、さまざまな場所に存在するようになり、攻撃者にとっての侵入ポイント(アタックサーフェス)が飛躍的に拡大・複雑化しています。
さらに深刻な動向として、サプライチェーン攻撃の現実化があります。従来、攻撃者は稼働中のシステムを直接標的としてきましたが、近年ではIT機器やソフトウェアの設計、製造、配送プロセスなど、サプライチェーンの早期段階を対象とする攻撃が報告されています。SolarWindsやKaseyaなどは、発見が非常に困難で、影響範囲も広大になりうるサプライチェーン攻撃の深刻な実例として記憶に新しいところです。
これらのトレンドは、IT機器のデバイスやソフトウェア、すなわちプラットフォームが「ライフサイクル」全体を通してリスクに曝されるようになった状況の中でも殊に、人が直接扱うデバイスの防護強化が急務であることを示しています。
デバイスセキュリティを取り巻く脅威の現実
デバイスセキュリティに焦点を当てると、さらに具体的な脅威が見えてきます。まず注目すべきは、ファームウェアへの攻撃が現実のものとなっていることです。Windows 10以降、Windows as a ServiceによりOSの脆弱性パッチ提供が改善されました。また、Windows 11でセキュアブートや仮想化ベースのセキュリティが必須機能やデフォルト設定になり、OSレベルのセキュリティは大きく改善されています。
その結果、攻撃者はより防御が手薄なファームウェアレベルへと標的をシフトさせています。特に2020年以降、実際の攻撃事例が毎年のように報告されるようになっています。ファームウェアへの攻撃は検知が困難で、一度成功すると従来のセキュリティソリューションでは検知できない永続的な侵害を可能にします。
-
ファームウェアへの攻撃が現実のものになっている
さらに、情報漏洩を目的とした攻撃に加え、システムやデータを破壊し事業を妨害することを目的とした攻撃も増加しています。
その代表例がランサムウェア攻撃です。日本を含め、あらゆる規模の組織がランサムウェアの標的となり、業務停止や多額の身代金要求といった深刻な被害を受けています。近年では、データを暗号化した上で機密情報を窃取し、公開すると脅す「二重恐喝」といった手法も一般化しており、被害の深刻度は増す一方です。
このような状況下で、従来の検知に基づくアンチウイルスソフトウェアだけでは、組織を守ることが不可能になっています。マルウェア開発者が亜種を迅速に生成する技術を発達させたため、パターンマッチングによる従来の検疫アプローチは効果を失っています。
生成AIによる脅威の加速
上記の脅威をさらに深刻化させる要因として、攻撃者による生成AIの活用が挙げられます。残念ながら、攻撃者は新技術の採用において防御者よりも常に一歩先を行く傾向があります。
生成AIは、より説得力のあるフィッシングメールの作成、攻撃スクリプトの自動生産、未知の脆弱性の発見、窃取したデータの効率的な分析、マルウェアの開発・改良など、さまざまな攻撃活動に活用され始めています。
こうした技術の悪用により、サイバー犯罪の敷居が大幅に下がり、高度な技術を持たない攻撃者でも精巧な攻撃を実行できるようになっています。防御側が生成AIを活用してセキュリティを強化する以上に、攻撃側が生成AIを悪用してセキュリティを突破する動きが加速しています。
社会全体でのセキュリティ強化への取り組み
このような状況に対応するため、世界各国で社会全体としてセキュリティを強化する取り組みが始まっています。日本政府も経済安全保障推進法を通じて、組織に対してより具体的な対策を求める動きを開始しました。
特に注目すべきは基幹インフラ制度です。基幹インフラを担う企業や組織に、IT機器のサプライチェーンセキュリティへの対処を求めるもので、IT機器または役務の提供者に対して、提供する会社・組織のガバナンスの透明性と、設計・製造プロセスのセキュリティ対策を要求しています。
IT機器や役務の提供者はその企業統治構造や意思決定プロセスが明確であり、不適切な外部影響を受けていないことを証明するとともに、製品のライフサイクル全体を通じてセキュリティが考慮され、適切な対策が実装されていることを示す必要があります。
-
基幹インフラ制度の事前審査に必要な情報
この制度の特徴は、基幹インフラ企業や組織の制度への対応が不十分な場合には監督省庁から是正措置が命令・勧告される点にあり、従来のガイドラインとは異なる強制力を持っています。これは、サイバーセキュリティが国家安全保障の問題として認識されはじめていることの表れであり、組織や企業にとっては対応が避けられない課題となっています。
今後のセキュリティ対策の方向性:デバイスのライフサイクル全体を視野に
日本を含む先進国では、社会全体のIT・セキュリティの成熟度を高めるための規制が強化されていますが、その中核となる考え方の一つがさまざまなデジタル機器を、上述のとおりライフサイクル全体で捉える視点です。
従来のセキュリティ対策は、すでに稼働しているデジタル機器をいかに保護するかという点に集中していましたが、サプライチェーン攻撃やファームウェア攻撃の現実化により、この考え方だけでは不十分であることが明らかになっています。
セキュリティを真に確保するためには、企画・設計段階から廃棄に至るまで、製品のライフサイクル全体を通じたセキュリティの視点が不可欠です。
設計段階でセキュリティを考慮するセキュリティ・バイ・デザイン(Security by Design)思想にのっとり、製造プロセスでの不正な改変を防止して通過程での完全性を確保し、運用中の脆弱性への迅速な対応、らには廃棄時の情報漏洩を防止するという、一貫したアプローチが求められています。
このライフサイクル全体を通じたセキュリティの考え方は、ゼロトラストなどの先進的なセキュリティモデルを効果的に機能させるための基盤ともなります。どれだけ高度なセキュリティ対策を導入しても、デバイス自体に設計段階から脆弱性が埋め込まれていたり、製造過程で不正な改変が加えられていたりすれば、その効果は限定的なものになってしまうからです。
さらに、ライフサイクル全体でのセキュリティ確保には、透明性が鍵となります。どのような設計判断がなされ、どのような製造プロセスで作られ、どのようなサプライチェーンを経て届けられたかが明確であることで、潜在的なリスクの評価が可能になります。経済安全保障推進法が求める「ガバナンスの透明性」と「設計・製造プロセスのセキュリティ対策」は、まさにこの考え方を反映したものと言えるでしょう。
組織は技術的対策と人的対策を組み合わせた総合的なアプローチを取りつつも、まずは使用するデバイスのライフサイクル全体を視野に入れたセキュリティ確保が重要です。国際的な協調や産学官の連携を通じて、デバイスのライフサイクル全体を通じたセキュリティ確保のためのベストプラクティスを共有し、その実装を促進していくことが、今後のサイバーセキュリティ対策の中心となるでしょう。
近年の脅威環境の変化を理解し、適切な対策を講じることは、すべての組織にとって事業継続の基盤となります。デバイスのライフサイクル全体を通じたセキュリティの確保は、変化し続ける脅威環境に対応するための根本的なアプローチであり、デジタル社会の恩恵を安全に享受するための必須条件と言えるでしょう。
ソニー、Bose、JBLなどのBluetooth製品に重大な脆弱性、アップデートを
