あらゆる分野でデジタルトランスフォーメーション(DX)が進む昨今、デジタル技術の革新スピードはより一層速まっています。また地政学的な緊張が高まる中、各国・地域の規制やルールも目まぐるしく変わり続けています。
サイバー攻撃においても、攻撃者は最新技術を巧妙に採り入れ、攻撃手法は日々刻々と進化しています。このような状況下で企業は脅威をタイムリーに捉え、的確に対処することが求められています。
本レポートでは、各国の法規制、生成AI、サプライチェーン、脆弱性管理など、特に変化の激しい分野に関して、潜在的なリスクや企業に求められる対応を考察しました。本レポートから得られるサイバーインテリジェンスが、日本企業の皆さまがセキュリティ対策を講じる上での一助となれば幸いです。
2024年 Cyber IQ調査の一部を抜粋してご紹介します。全文は以下よりPDFをダウンロードしてご覧ください。
クラウド利用に代表されるように、サプライチェーンのデジタル化やグローバル化はとどまることを知らず、重要基幹インフラの導入や維持管理には、ますます多くの企業が関与していくことが予想されます。昨今のサイバーインシデント事例からも推察されるとおり、当該企業に対して直接的な攻撃が行われることもあれば、サプライチェーンを構成する事業者に対して攻撃が行われることもあります。重要基幹インフラの導入や維持管理においては、サプライチェーン全体で実効性のあるリスク管理措置を行い、特定社会基盤事業者としての説明責任を果たすことが重要となります。
生成AIは使い方によって善にも悪にもなるテクノロジーです。サイバー犯罪者はより巧妙で効果的な攻撃を仕掛けるために、常に生成AIを悪用する方法を模索しています。企業や組織にとって、潜在的な脅威を認識し、セキュリティツールやベストプラクティスを利用しながら先手を打って新たなリスクから自身や組織を守ることがますます重要になっています。
PwCが実施した製品セキュリティに関する調査では多くの企業がEU Cyber Resilience Act(CRA)への対応を始めていないことが分かりました。調査に回答した580名のうち、CRA対応を実施していると回答したのは約2割にとどまりました。また、CRAに対応していると答えた回答者のうち、すでに対応済みという回答は約4割、1〜3年以内のCRA対応を目指すという回答は約5割という結果になりました。企業規模(従業員数ベース)の観点では、従業員が500人以下の規模の比較的小さい企業における対応が進んでいないことも判明しました。
製品の品質確保は一朝一夕に実現できるものではありません。特にCRAは安全な製品を開発するプロセスを求めています。製品が結果的にセキュリティ安全性を担保しているだけでは不十分です。開発から製造、販売まで、一貫対応できる体制を整えることが必要になってきます。
脆弱性の深刻度を評価し、数値で表現するための代表的なフレームワークとしてCVSSがあります。企業の情報システムや自社製品に組み込まれているソフトウェア製品などの脆弱性が公表された際、CVSSの値が公開されるため情報を収集しやすく、最も広く利用されている脆弱性評価方式の1つです。実際に、今回の調査では約66%の企業が、CVSSバージョン2もしくはバージョン3を脆弱性対応プロセスに採用していることが明らかになりました。
今後採用を検討している脆弱性評価方式を調査したところ、CVSSを採用している企業の約30%がCVSSバージョン4への移行、またはバージョン3と4の並行運用への移行を検討していることが分かりました。
多くの脆弱性が報告される中、それらを悪用する脅威アクターはますます増えるリスクが高まっています。昨今のセキュリティインシデントの公表状況を見ると、優先されるべき脆弱性への対処が放置されているような状態で甚大な影響を引き起こす事象も発生しています。
今回の調査で示したような「脆弱性が残存・蓄積」している状態こそ、脅威アクターの恰好の的となることから、組織にとって大きなリスクを及ぼす可能性が高い脆弱性から優先的に対応していくべきです。SSVCやEPSSなどの脆弱性評価方式のトレンドは、今すぐに対応すべき脆弱性にフォーカスできるように進化している点であり、今回の調査で浮かび上がった課題への打ち手となる可能性があります。
デジタルの技術革新のスピードは一段と速まり、各国・地域の規制やルールも目まぐるしく変わり続けています。最新技術を巧妙に採り入れ、規制の穴を狙うサイバー脅威をきちんと分析して適切に対処するには、ガイドラインに沿った態勢を整えるだけでは万全とはなり得ません。自社のインテリジェンスを高め、さまざまなリスクを検知して事前に危機の芽を摘む能動的な備えを築くことが重要になっています。
激変するビジネス環境に真正面から対峙するには、まずはITやセキュリティ部門が各事業をきちんと理解し、ビジネスに合ったセキュリティ基盤を構築すること。さらに、事業部門もサイバーセキュリティやデジタル技術を「自分ごと」として捉えること。そして、両部門が目線を合わせてセキュリティレベルの底上げに取り組むことが、デジタル時代の経営のレジリエンス(強靭性)を保つことにつながると考えられます。
デジタル化に伴うリスクと機会を自社の成長につなげるには、全てのステークホルダーに対して自社の人材やサービス、企業統治などへの信頼を得ることが不可欠です。ステークホルダーが抱く「トラストギャップ(信頼の空白域)」をいかに埋められるかが、非連続な時代における企業の強靭性と成長力を高める源泉になると考えられます。
従来、セキュリティの高度なノウハウが必要なのは、ITや保守など一部の専門部署に限られていました。DXが進むにつれ、今では事業部門もAIやクラウドなどの使い手となり、セキュリティサービスの行き先を社内にとどめる時代は過ぎました。事業部門もデジタルサービスのセキュリティ上の脅威を意識して、適切な体制のもとでサービスを提供することが求められつつあります。
サイバー脅威をはじめ、複数のリスクが同時多発的に起き得る非連続な時代では、自社の視点に縛られていては事業継続の判断基準を見誤りかねません。重要なのは「顧客視点」でサービスを高品質に維持することです。自社のサービスの利用者が何人いて、各サービスはどの程度利用者にとって重要なものなのか、サービスを提供できない場合に代替の手段はあるのか、といった分析をもとに事業の強靭性を担保する必要性が高まっています。
守備の網の目を小さくするには、内部と外部のシステムの境界を無くし、守るべき情報にアクセスしようとするものを1つ1つチェックする「マンツーマンディフェンス」に切り替えることです。内部も外部も関係なく、全ての通信を何も信頼しないことを前提に検証と分析を重ねる「ゼロトラスト」の概念に基づいたセキュリティモデルの構築こそ、脅威を増すサイバーリスクを減らすカギになります。信頼を置かないことを前提とするセキュリティの積み重ねが、ステークホルダーの信頼を得る近道と言えます。
ゼロトラストによるマンツーマンディフェンスを敷く場合、重要なのはアクセス元をきちんと識別する手段を確保することです。身元を確認する、本人によって使われているかを判定する、アクセスを許可または制御する、アクセス履歴を収集・分析し、異常が起きていないかを判定する。これらの一連のセキュリティ網を整えるために必要なのが「デジタルアイデンティティ」です。Identity-based perimeterなどと呼ばれる、デジタルアイデンティティを新しい境界とする考え方が今、広がりつつあります。
「トラストギャップ(信頼の空白域)」を埋める詳しいアプローチはPDFをご参照ください。
