パロアルトネットワークスは12月3日、サイバー脅威とセキュリティ動向の2021年振り返りと2022年予測に関するオンライン記者説明会を開催した。

2021年のサイバー脅威の動向

初めに、日本担当最高セキュリティ責任者 (Field CSO) の林薫氏が、脅威インテリジェンスチームUnit 42の調査に基づく「サイバー脅威の動向」について説明した。同氏は「ランサムウェア」「フィッシング」「脆弱性とスキャニング」の3点から、2021年を振り返った。

  • パロアルトネットワークス 日本担当最高セキュリティ責任者 (Field CSO) 林 薫氏

    パロアルトネットワークス 日本担当最高セキュリティ責任者 (Field CSO) 林 薫氏

林氏は、2021年のランサムウェアの動向として、身代金の平均要求額、身代金の平均支払額、身代金の最高支払額、身代金の最高要求額のいずれも2020年より増えていると説明した。

  • 2021年のランサムウェアによる被害の速報値

    2021年のランサムウェアによる被害の速報値

林氏はランサムウェア攻撃が増加している要因として、RaaS(Ransomware as a Service) のサプライチェーンを挙げた。RaaSとは、ランサムウェアを用いた攻のクラウドサービスで、「エコシステムが出来上がってきている。今後もサービスが洗練されていき、利用されることが予想される」と林氏は説明した。

「フィッシング」は、新型コロナウイルスの影響で導入が進んだ在宅勤務の増加に伴い、世界的に活動が活発化しているという。ただし、フィッシングのテーマは時期に合わせて、「リモート会議」「ワクチン」「個人防護具(PPE)」など変遷していることがデータからわかっている。

「脆弱性とスキャニング」に関しては、米国CISAが公開した対応すべき脆弱性リストに、2010年から2018年に発見された48の脆弱性が含まれている点について、「脆弱性の対応を適切に行うことが難しいことを表している」と林氏はコメントした。CISAは政府機関に対し、2021年11月17日までに100の脆弱性について、また、2022年5月3日まで176の脆弱性について、即時対応を求めている。

また、攻撃対象の内訳は、同社の調査でクラウドサービスのリソースが79%、オンプレミスのリソースが21%であることがわかっている。最も狙われている対象は「RDPサーバ」だが、林氏は、ビル管理システムや組み込みシステムなど、「外に見えているべきではない」「セキュアな状態でなければならない」ものが狙われていることに注意すべきと指摘した。

  • 攻撃面に関する調査

企業の投資と課題から見た2021年サイバーセキュリティの動向

続いて、チーフサイバーセキュリティストラテジストの染谷征良氏が、企業の投資と課題から見た2021年のサイバーセキュリティの動向について説明した。同氏は全体的なセキュリティインシデントの傾向として、大きく2つあると述べた。

  • パロアルトネットワークス株式会社 チーフサイバーセキュリティストラテジスト 染谷征良氏

1つは、ステークホルダーの影響が増加していることだ。株主、消費者、サプライチェーン、社会全体などへの被害が及ぶ状況が常態化しているという。もう1つは、海外拠点や関係企業・委託先のリスクが顕在化していることだ。海外拠点を経由して国内拠点が攻撃にあう事例が増えている

また、ゼロトラスト関連の施策の動向としては、「関心は高いが、理解や解釈が多様化」「インフラ全体、個別ツールと、取り組みが二極化」といったことが見られるという。「新型コロナウイルスの影響で、テレワークに限定した取り組みと事業基盤全体とした取り組みに2極化している」(染谷氏)

加えて、企業のデジタルインフラやサイバーセキュリティの投資・施策の動向においても、「全体最適or個別最適」「ビジネスゴールorコスト削減・効率化」「ビジネス、インフラ、セキュリティが一体となっているかどうか」と二極化の傾向にあるという。

こうした二極化が生じる背景について、染谷氏は「経営層がサイバーセキュリティを経営課題としてとらえているかどうかがカギとなる。以前よりはそうした経営層が増えているが、組織的な課題が顕在化している」と説明した。

染谷氏は、データ・プライバシー関連の法規制についても触れた。EU一般データ保護規則(GDPR)が施行されて3年経つが、高額の制裁金を科せられる案件が増えており、同氏は懸念すべき点として、技術的な対策が不十分な点から制裁金を科せられていることを挙げた。

  • GDPRによる制裁案件

そして、日本でも来年4月に、個人情報保護法の改正が予定されている。改正により罰則が強化されるため、国内企業にとってデータ・プライバシーはますます重要な課題になっている。染谷氏はプライバシー保護の対策について、「説明責任の取り組みが重要。データ活用が進む中で、データの取り扱いを改めて考えるべき」と説明した。

2022年のサイバーセキュリティに関する予測

2022年のサイバーセキュリティに関する予測について、林氏は「セキュリティ人材獲得が一層困難になること」を挙げた。

各国政府がサイバー攻撃に関する取り締まりを強化する傾向が高まっていることから、サイバーセキュリティ人材の獲得がこれまで以上に激しくなることが予想されるという。

染谷氏は4つの予測を示した。1つ目の予測は「ビジネスプロセスに影響するインシデントの増加」だ。これまでリスクにさらされていなかったビジネスプロセスが狙われる可能性が高まることが考えられるため、ビジネスプロセスが止まることによる影響、止まってしまった時の対策など、事業計画を見直す必要があるという。

2つ目の予測は「『本気のゼロトラスト』と『ゼロトラスト疲れ』への二極化」だ。市場が混乱していることから、ツールありきの「なんちゃってゼロトラスト」の動きが進むことが懸念されるという。染谷氏はゼロトラストを従来の構造に起因する問題を解決するいい機会と捉えて対策を講じるべきだと語った。

3つ目の予測は「Bring Your Own Infrastructure(BYOI)の増加」だ。BYOIは染谷氏の造語だそうで、要求に応えてくれないセキュリティ部門に対し、ビジネスユーザーや経営層のフラストレーションがたまることで、独自にクラウドベースのインフラを構築する動きが見られるのではないかとのことだ。

4つ目の予測は「日本企業の海外子会社・関連会社がデータ・プライバシー法規制の制裁対象になる」だ。こうした事態を回避するため、経営層、セキュリティ部門は法務部門との連携を行うほか、情報収集などを通じて、個人データの取り扱いなどを継続して見直す必要があるという。