IT セキュリティがどの程度あれば十分であるかについて質問することは、文字列の長さを質問するのと同じくらい役に立ちます。 答えは「状況による」です。 ただし、確かなことは、脅威の状況が変化しているということです。 人工知能(AI)はリスクとチャンスをもたらし、中東とウクライナでの戦争により、重要な国家インフラや西側の大手企業が標的にされる可能性が高まっている。
Operational Technology Cybersecurity Information Sharing and Analysis Center の実行委員長である Steven Sim Kok Leong 氏は、ランサムウェア攻撃、データ侵害、詐欺の規模が今後も増加すると予想しています。 彼は世界経済フォーラムのことを指摘する。 グローバルリスクレポート2024は、今後 2 年間、サイバー不安、誤情報、偽情報がそれぞれ第 1 位と第 4 位のリスクになると予測しています。
2024 年の進化する脅威の状況を見て、Sim Kok Leong 氏は次のように述べています。「生成 AI (GenAI)、IoT (モノのインターネット)、接続性のおかげで、クラウドや AI の採用が増加し、攻撃対象領域はますます複雑になっています。 ハッカーは投資収益率を活用するために、すでに一般的なソフトウェアやサービスの集中を攻撃しています。」
増大するリスクに企業を備える
科学イノベーション技術省(DSIT)は1月、企業のサイバーセキュリティ管理を支援する行動規範の草案を発表した。 このコードは、業界ディレクター、サイバーおよびガバナンスの専門家、国家サイバーセキュリティセンター (NCSC) と協力して設計されており、企業が潜在的なサイバーインシデントに対応し、そこから回復するための詳細な計画を確実に立てるための対策が含まれています。 対応計画は定期的にテストして、可能な限り堅牢であることを確認し、インシデントを報告するための正式なシステムも整備する必要があります。
この対策には、ソフトウェアが安全に開発および保守され、サプライチェーン全体でリスクがより適切に管理および伝達されるようにすることが含まれます。 政府は産業界と協力して、この提案パッケージの核心となるソフトウェアサプライヤー向けの実践規範の開発から、専門家向けのサイバーセキュリティトレーニングに至るまで、これらの提案をさらに発展させるべく取り組んでいる。
セキュリティスキルのギャップ
多国籍企業には少なくともハッカーとの競争条件を平等にする努力をするだけのリソースがある一方で、中小企業(SME)や個人はリソースや専門知識が不足し、予算の面で苦労しているとシム・コク・リョン氏は警告する。そして景気が低迷するたびに人員削減が行われる。
Turnkey Consulting のシニアマネージャーである Harshini Carey 氏は、スキルに注目して、サイバー脅威から企業を守るための熟練した人材や専門家の継続的な不足が依然として世界的な懸念事項であると指摘しています。 たとえば、英国では企業の 50% に基本的なサイバー セキュリティ スキルのギャップがある一方、33% には高度なスキルのギャップがあります。
ディフェンダー不足が続いている理由はいくつかある。 Carey 氏は、サイバーセキュリティの役割は非常にストレスの多い性質を持っているため、多くの専門家がこの分野から離れていると指摘しています。 昨年、Gartner は、サイバー セキュリティ リーダーのほぼ半数が 2025 年までに転職を計画しており、その半数がセキュリティ業界から永久に撤退する意向であると回答したと報告しました。
「スキル不足が深刻化するだけでなく、ストレスによりサイバーセキュリティ専門家の役割の効率が低下します」と彼女は付け加えた。 ストレスの影響を調査した 2023 年の報告書では、米国と英国の CISO の 65% が、ストレスにより組織を守る能力が損なわれていると感じていることがわかりました。
セキュリティ責任者にとってのリスク
Sim Kok Leong 氏は、2024 年には CISO の責任、保険、労働組合への取り組みがさらに重視されることになると予想しています。 「Uber と SolarWinds の事件は、CISO の責任の問題を引き起こしました」と彼は言います。
重大なサイバーセキュリティ問題が発生した場合、CISO のデューデリジェンスが問われると Sim Kok Leong 氏は言います。 その結果、CISOはより良い報酬や雇用保障保険を要求するだろうと同氏は予想している。
「構造的な対立や安全保障の舞台に巻き込まれたCISOは、悪い報告を軽視することについて考え直すだろう」と彼は付け加えた。 「CISO はまた、力、サポート、洞察力、情報源として CISO ネットワークを信頼できる同僚をますます求めるようになるでしょう。」
Sim Kok Leong 氏は、企業の取締役会メンバーと CISO が説明責任と責任を明確にすることを推奨しています。 「取締役会の説明責任とサイバーセキュリティへの焦点がますます強調され、改訂されたSEC(証券取引委員会)規則を通じて詳しく説明されています。 侵害の公表が増えるにつれて回復力とサードパーティのリスクに対する監視が高まる中、取締役会は今度はリスク/セキュリティ指標の独立した保証と可視性を要求することになるだろう」と彼は言う。
彼の経験によれば、CISO には単なる責任を超えたサイバーセキュリティの説明責任がますます与えられています。 これは、CISO がサイバー上の意思決定を行うために、より大きな権限が必要になることを意味します。
AI: 2024 年の新たな脅威
IT セキュリティ責任者がこれまでに経験したリスクのほかに、人工知能によってもたらされる脅威と機会も増大しています。
Turnkey の Carey 氏は、AI は急速に高度化しているため、ウイルス対策ソフトウェア、ファイアウォール、マルウェア対策エンジンなどの従来のサイバー セキュリティ技術では、機械学習を利用した攻撃によって生成される脅威から保護するのにもはや十分ではないと指摘しています。
AI を利用したさまざまな脅威には、IT 環境にすぐに導入できるマルウェア インジェクションを使用して組織化されたディープ フェイク ソーシャル エンジニアリングの試みが含まれます。
キャリー氏は、こうした攻撃にはさまざまな形があると警告する。 たとえば、信頼できる個人を装った加害者は、誰かをだまして電子メールのリンクをクリックさせて機密情報を暴露したり、ネットワークにマルウェアをインストールしたり、APT (Advanced Persistent Threat) の第 1 段階を実行したりする可能性があります。 テキスト メッセージや音声通話も攻撃の生成に使用される可能性があり、ユーザーをハッカーの Web サイトに誘導し、ユーザーがその Web サイトを操作する際に機密データを盗む検索エンジン最適化 (SEO) 操作も同様です。
その結果、ソーシャル エンジニアリング攻撃がエスカレートし、ユーザーを操作して組織システムへの不正アクセスを許可することになります。 彼女は、このような攻撃は、その知性と洗練さのため、検出するのが非常に難しいとも言います。
地政学的緊張がサイバー攻撃を引き起こす
AI は脅威であると同時に機会でもあります。 サイバー犯罪者は、地政学的な緊張に便乗して、主要組織や重要な国家インフラを標的にする可能性があります。 アナリスト会社 Forrester は、GenAI への注目が高まった結果、2024 年には AI 生成コードが原因であると公にされるデータ侵害が少なくとも 3 件発生する可能性が高いと予測しています。
しかし、IT セキュリティ プロバイダーは、AI を組み込んだツールを使用して防御を強化しています。 AI のサイバー セキュリティ ツールへの統合は急速に進んでいます。 サイバーセキュリティにおける AI 市場は、2026 年までに 382 億ドルに成長すると予測されています。
Quorum Cyber の CEO 兼創設者である Federico Charosky 氏は、これらの組織を守る任務を負った人々には、攻撃者が悪のために AI を利用するよりも早く、AI を善のために利用する比類のない機会があると信じています。
「AI を実行するにはかなり大規模な計算能力が必要ですが、それはサプライ チェーンの問題と、顧客を適格にする必要があるハイパースケーラーによって適切に制御されます」と彼は言います。