前回は2020年の脅威動向予測として「ディープフェイク」による詐欺、クラウド(クラウドコンピューティング)関連のリスク、IoT関連の脅威増加等についてレポートをまとめました。今回はこうした脅威以外に、企業が抑えておきたい2020年のセキュリティトレンドについてお届けしたいと思います。
2020年の5つのセキュリティトレンドとは
カリフォルニア州レッドウッドショアーズに本社を置くサイバーセキュリティプロバイダーImpervaは、12月11日(米国時間)、「Top 5 Cybersecurity Trends to Prepare for in 2020|Imperva」と題したレポートを公開し、2020年に予測されるサイバーセキュリティの予測や変化について報告しています。その中では2020年に注目されるセキュリティトレンドとして、次の5つが挙げられています。
クラウドへの移行が加速化
社内資料の管理、従業員や顧客の情報管理などにクラウドサービスを利用することが一般的になりましたが、2020年はこのクラウドへの移行がさらに加速化するとみられています。アメリカの調査会社フォレスターリサーチによると、企業の4分の3がハイブリッドまたはマルチクラウド戦略を実行しています。しかしながら、セキュリティ戦略が主役で語られることはほとんどありません。
2019年8月、Impervaは米Amazon Web Services(AWS)のアカウントの1つで管理APIキーの不正使用に起因するセキュリティインシデントを発見しました。これはクラウド移行のセキュリティ保護に関するいくつかの難しい教訓のひとつとなりました。企業はクラウドへの移行を可能な限り効率的に、そして移行を成功させるために、セキュリティとコンプライアンスに積極的に取り組む必要があります。
自動化された攻撃の増加
自動化された攻撃は、オンライン上に存在するすべてのビジネスにとって問題です。Webサイト、モバイルアプリ、およびそれらを動かすAPI等は、自動化されたボットによる攻撃にさらされます。Impervaの「2019 Bad Bot Report」によると、Webトラフィックの57.8%が実際の人間によるものであり、残りはボットによるものです。不正なボットは、すべてのWebトラフィックの21.8%を占めており、2020年にさらに増加すると予想されています。
特にEコマースなど、ネット取引に関連したサイトはボットによって大きな打撃を受けています。Eコマースについて、231のドメインからの164億のリクエストを分析したところ、サイトへのトラフィックの30.8%はボットであることが判明しました。そのうちの17.7%は、価格スクレイピング、スニーカーボット、グリンチボット、ギフトカードスタッフィング等の”悪い”ボットによるものです。
ゼロトラストの拡大
ゼロトラスト(ネットワーク)とは、ネットワーク内部でさえも基本的に誰も信頼せず、厳格なアクセス制御を行うというフレームワークとされています。フォレスターリサーチの調査員キンダーバーグ氏により提唱された次世代のネットワークセキュリティの概念です。2020年からは、データセキュリティについて話す時、「ゼロトラスト」モデルが取り上げられることがさらに増えると予測しています。
ゼロトラストネットワークでは「社内は安全である」という前提の下で境界を守るセキュリティ対策ではなく、「全て信頼できない(ゼロトラスト)ことを前提として、全てのデバイスのトラフィックの検査やログの取得を行う」という性悪説に基づいたアプローチを採用しています。
ネットワークの境界だけを防御するこれまでのセキュリティ対策では不十分であることが、認識された結果として、ゼロトラストネットワークの普及が進みつつあります。特にクラウドコンピューティングなどセキュリティ対策を施すための境界が曖昧な環境において、ゼロトラストネットワークは有効に機能します。クラウドベースで構築されたゼロトラストネットワークは、クラウド環境と社内環境の双方に対して境界を設けずにセキュリティを確保できるように設計されます。
コンプライアンス違反による経費増加
コンプライアンスを達成するための手順はリソースと時間を要する場合がありますが、コンプライアンス違反のコストはそれを上回り増大しています。Ponemon Instituteの調査によると、企業のコンプライアンス違反の年間コストは「平均1480万ドル、2011年から45%増加」となっています。 一方で、コンプライアンスを達成するためのコストは平均550万ドルで、2011年から43%増加しました。これは法令違反で支払うことになる費用は、法令に準拠する費用の3倍近くかかっている事を示しています。
しかしながら今後企業はソフトウェア開発ライフサイクル(SDLC)と継続的インティグレーション(CI/CD )を取り入れることで、リスクを軽減し、セキュリティのコスト効率を高めることが可能です。ソフトウェア開発ライフサイクル(SDLC)とは、高品質、低コストのソフトウェアを可能な限り最短の生産期間で製造するためのプロセスです。継続的インティグレーション(CI/CD )とは、アプリケーション開発のステージに自動化を取り入れて、顧客にアプリケーションを提供する頻度を高める手法です。
コンプライアンス違反によって、むしろ膨大な経費増加が警告されていますが、効率的な手法を組み合わせ、完全に自動化されたアプローチにより、コンプライアンスはより迅速でコストを抑えながら達成していくことが可能だと言われています。Impervaのレポートでは、これらは特にフィンテックに関連した金融サービス企業に当てはまるとのことです。
多層防御でリスクを軽減
企業が絶えず変化する環境においてリスクを軽減するには、多層防御フレームワークが有効で、これまでにも成果を上げていることを最後にレポートでは伝えています。多層防御とは、ハッカーなどの攻撃を受けて、自社のネットワークやシステムのセキュリティが侵害されないようにするための複数の防御策のことです。情報犯罪における手口は、年々巧妙になり、従来のセキュリティではもはや防御することが難しくなってきました。多層防御と似た言葉の「多重防御」との違いは、防御の領域です。多層防御は入口対策から内部対策、出口対策を複数行います。それに対して多重防御は入口対策のみを重ねて行うことを意味します。多層防御では入口・内部・外部対策を複数のツールを使ってセキュリティ強度を高めます。
多層防御は、特に近年増えているマルウェアの脅威に対して有効です。近年ではマルウェアの被害により、大規模な情報漏えい事件が発生しています。多層防御では、ネットワーク内の監視する場所を増やすことで、不正アクセスを検知できる場所が増え、攻撃の初期で検知できる確率を高めています。初期に検知できれば、被害の拡大を防ぐことも可能です。
さいごに
過去10年間でテクノロジとインターネットは劇的な進化を遂げ、同時にサイバー脅威の発生頻度や潜在的な影響も大きく変わりました。データ漏えいの数は約2倍になり、2018年には12億件に達しています。また、漏えいした情報の数は 10年経たずして27倍へと増加しています。Stuxnet から NotPetya、WannaCry、さらにその先へと進むにつれ、攻撃はより複雑さを増し、破壊力もはるかに高まってきました。
データ漏えいによって企業が被る平均的なコストは合計 400万ドルにのぼっていることから、もはやサイバーセキュリティは選択肢として考えるものではなく、業務上必須検討事項となっています。
引用:https://news.microsoft.com/ja-jp/2019/12/09/191209-the-state-of-cybersecurity-in-2020-five-key-trends/
マイクロソフトサイバーセキュリティ担当CTOダイアナ・ケリーは上記のように、企業はやサイバーセキュリティについて必須検討事項として考えるよう述べています。ここでまとめたセキュリティトレンドでは、コンプライアンス違反についての経費についても触れましたが、きちんと対策を実施しないと、コストはさらに膨大なものとなってリスクをもたらします。次々台頭してくる脅威について認識し、今求められるセキュリティで防御することが企業には求められています。
