私は、BlackBerryの最高セキュリティ責任者として、定期的にFortune 500の企業幹部と定期的に面談し意見交換をしている。また、セキュリティ上の欠陥や脆弱性の発見に身を投じるホワイトハッカーのようなセキュリティの専門家との情報交換にも努めている。

過去12カ月間、お客さま、パートナー、政府関係者、社内のサイバーセキュリティ専門家、セキュリティおよびリサーチコミュニティのリーダーとの情報交換に時間を費やしてきた。以下、こうした話し合いに基づいてまとめた2018年のサイバーセキュリティのトレンドを紹介したい。

2018年は史上最悪のサイバー攻撃の年に

史上最悪のサイバー攻撃の年だった2017年。今年は最悪な状況から脱したいものだが、われわれが今まで見てきたものは氷山の一角に過ぎない。

昨今のサイバー脅威の根本的な問題は、大半が未解決のままだ。企業のIT部門は、より複雑化するネットワーク管理、新しいタイプのエンドポイントのサポート、増加の一途をたどる機密情報の保護に迫られている。しかし、多くの業界では依然として古いシステムが利用されており、容易にアップグレードできないのが現状である。旧来のシステムは一般的に知られているソフトウェアの脆弱性を含んでおり、これを悪用することで企業ネットワークへの侵入が可能だ。

同時に、攻撃者の技術は高度化しており、サイバー攻撃を仕掛ける動機もこれまで以上に多岐にわたっている。ランサムウェアの開発やDDoS攻撃の開始、ビットコイン決済の要求、組織的犯罪グループや国家政府との連携まで、悪意あるハッカーは自らのスキルを収益化し、自らを保護するためにさまざまな方法を駆使している。

政府や企業はこうした新たな脅威を認識しており、最新のセキュリティ・ソリューションを導入してはいるものの、旧来のシステムのすべてを廃止するには今後数年間を要すると考えられる。そのため、2018年もまた、サイバー攻撃の脅威に悩まされる1年となるだろう。

こうしたなか、モノのインターネット(IoT)がもたらす新たな脅威は今日のあらゆるサイバー攻撃を凌駕するものであり、われわれはこうした脅威への取り組みを通じて、未来に向けた計画をスタートさせる必要がある。

サイバー攻撃による物理的な被害が発生

IoTの保護は、従来のITネットワークのそれよりもさらに重要である。その理由は簡単で、IoTへの攻撃は公共の安全を脅かすからだ。

コンピュータやモバイルデバイスがハッキングされても、直接的・物理的な被害が発生することは通常あり得ない。個人情報が盗まれることは確かに苛立たしいが、交通事故に巻き込まれることや、点滴やペースメーカーが不正アクセスに遭うことの影響の比ではない。IoTセキュリティは今後、死活問題となっていく。こうした脅威の発生を黙って看過するわけにはいかない。

私は最近、スマートシティに向けた継続的な取り組みを引き合いに、IoTにおけるセキュリティ基準強化の必要性を説いた。IoTのユビキタス化とセキュリティへの取り組みの欠如により、悪意あるハッカーがネットワーク化された重要なインフラストラクチャやデバイスに不正アクセスを行い、罪のない人々に直接的・物理的な被害を及ぼすのも時間の問題と言える。

サイバーセキュリティの脆弱化により、ハッカーは従業員を標的に

一般的に、企業のIT部門は、外部からの攻撃を阻止するために予算を投じる。しかし、セキュリティが不十分なコンシューマー・アプリケーションによる文書の共有や、高度化の進むフィッシングメールなど、大半のデータ漏洩は社内が起点になっているのが現状です。

ハッカーといえば、複雑なアルゴリズムを駆使し、高度な暗号を打ち破る天才技術者のように描かれがちだ。しかし実際には、もっと簡単な手法でも、同じく有効となり得る。

犯罪者であるハッカーは何らかの流儀を極めたいのではなく、できる限り効率的にシステムに不正アクセスしようと模索しているだけなのだ。技術的な防御策が進化を続ける中、今後は企業の従業員が最大の弱点となり、全体的な戦略の一環として従業員が攻撃者の標的となるケースが増えると考えられる。

すべてのCIO(最高情報責任者) やCISO(最高情報セキュリティ責任者) に対する私からのシンプルなアドバイスは「自社をハッキングしろ」だ。

侵入者の追跡を阻止してくれるであろうシステムの導入・構築にすべての時間を投じることも可能だが、プロのホワイトハッカーに委託し、実環境のサイバー攻撃 (フィッシングなどのソーシャル・エンジニアリング手法) をシミュレートしてもらわないと、本当に万全のセキュリティであるかはわからない。

当社のサイバーセキュリティ・サービスチームは最近、お客さまの企業ロゴをプリントしたTシャツを入手して「IT関連の企業だ」と伝えるだけで、そのお客さまのネットワークへのアクセスを取得した。社内に導入済みのテクノロジーの使い方を従業員が知らない場合、これらが自社のセキュリティ維持に不可欠な役割を果たしているという認識が欠如している場合、CIOやCISOがどれだけ頑張っても水の泡なのだ。

保険商品とサイバーセキュリティ製品の連動

2018年は、システムと従業員のどちらが最大の弱点であるかがわかっても重要ではない。企業で大規模な漏洩が発生する可能性があり、保険会社もそれに注目している。保険会社が注目するのは、顧客企業への攻撃が自社の業績に影響を及ぼすほど有害だからである。

彼らは今年、サイバー保険の加入者を増やすだけでなく、自社と顧客のリスク管理に向けて、「製品」と「専門家」という2つの戦略的な方向性を模索するであろうと、私は予測している。

例えば、米保険会社のProgressiveの自動車保険「Snapshot」は、実際の運転状況に基づいて保険料率を個別に設定する。この保険のように、保険会社は今後、顧客のセキュリティ行動の追跡を可能にする商品の販売を開始するだろう。彼らはセキュリティ専門家とも協力し、企業のサイバー攻撃の防御能力を適切に評価すると考えられる。スコアカードが用意され、最高のパフォーマンスを達成した企業の保険料が他社よりも低く設定されるというわけだ。

今年のサイバーセキュリティ業界に影響を及ぼすであろう要因は、上記以外にも多数存在するが、私はこれらが2018年のビッグトレンドになると考えている。最新のセキュリティ情報に関心がある方は、ぜひ私のTwitterをフォローしていただきたい(@AlexRManea)。

著者プロフィール

BlackBerry
最高セキュリティ責任者 (CSO)
アレックス・マネア(Alex Manea)

BlackBerry創設メンバーの1人で、「高度なモバイルセキュリティのBlackBerry」との評価の確立に貢献した。 BlackBerryスマートフォンをはじめ、AndroidおよびiOSデバイスやBlackBerry Messenger (BBM) 、BlackBerry Enterprise Server (BES) などのモバイルセキュリティに10年以上にわたって携わっている。

カナダ ウォータールー大学 システム設計エンジニアリング学部卒業。国際資格Certified Software Security Lifecycle Professional (CSSLP) の認定を受けている。