定義、創出できる価値
サイバーセキュリティとは、ネットワーク、コンピューター、プログラム、データを、意図しないアクセス、不正のアクセスや改ざん、破壊から保護することである。これらを最も重大なリスクとして対処しなければ、多大な損失を被る可能性は日に日に高くなる。2019年における個人データの漏洩被害は平均390万ドルにも及んでおり、世界全体のビジネスが被った推定被害総額は4兆ドルにも達する。
銀行詐欺と同様に、サイバーリスクは軽減できても完全な排除は難しいという認識が一般化しており、それに伴って、サイバーセキュリティの対応は「サーバールームで議論すべきことから役員会議で議論すべきこと」に企業の意識が移行し始めている。こうした動きは、企業が「サイバー攻撃」のリスクをどう管理、軽減するかといった方法論に新たな示唆を与えている。
サイバー攻撃は、金銭の獲得、スパイ活動、テロなどを目的として、個人、産業、政府が加害者あるいは被害者となる形で行われる。その結果、事業継続の危機、財務的負担、評判の毀損、訴訟、規制違反の罰金など様々な被害が生じる恐れがある。
サイバー攻撃のライフサイクルはいくつかの段階からなる。「偵察」段階では、敵が弱点を特定して攻撃手段を計画する。「武器化とデリバリー」段階では、加害者が悪意あるソフトウェアの送付方法を決定する。「侵入とインストール」では、加害者が組織へのアクセス権限を獲得、維持する手段を導入する。最後の段階は「実行」であり、加害者は目標データに到達し、攻撃計画を完了する。
標的は必ずしも目立つ人間や組織とは限らず、誰もがサイバー攻撃の犠牲者になり得ることを強調しておかなければならない。2017年にロシア・ウクライナ紛争の一環として展開されたNotPetyaウィルスは、意図したターゲット以外にも広まって世界のビジネスを麻痺させ、わずか数時間で100億ドルの経済的損害を与えた。海運会社のMaerskはサプライチェーンが全体分断され、3億ドルの被害を受けた。
デジタル決済の時代にあっては、データ窃盗は金銭的窃盗になり得る。2020年9月にNTTドコモは、電子決済サービスで発生した100件以上の被害を通じて、総額2500万円が盗難にあったことを報告している。戦略的重要性を持つデータも窃盗の対象となる。2020年5月には、2019年に三菱電機にサイバー攻撃が行われ、防衛関連データが盗まれた可能性があることが明らかになった。データ漏洩も世界中の企業に被害を与えている。2018年にBritish Airwaysの顧客約40万人分のクレジットカード情報が盗まれ、EU一般データ保護規制(GDPR)に基づき約2700万ドルの罰金を課されることになった。
盗まれたデータは身代金にもなり得る。支払わなければ、データを永久に失うこともある。「ランサムウェア」による世界全体の被害は、2021年までに200億ドルに達すると予測されている。日本のゲームメーカーのカプコンは2020年にランサムウェア攻撃を受け、顧客と企業のデータのうち35万件の記録を失った可能性がある。同年には、初のランサムウェアによる死亡事例が発生した。 サイバー攻撃によりドイツの病院のシステムが無力化されて、重篤患者に対する治療が間に合わなかったのである。
サイバーセキュリティの根幹は、もちろん、デジタル接続された企業や政府の物理的資産を保護することである。徹底的なサイバーリスク戦略を講じれば、データ破壊、システム能力の低下、ランサムウェアに対する防御を提供し、データ漏洩や評判の毀損を防ぐことができる。さらに研究開発や企業戦略に適用されれば、知的財産や企業機密の盗難によって市場競争上の立場が不利な事態を防ぐことが可能である。
画期的なサイバーセキュリティは、脅威の検出、保護、および解決を図ることのほかにも、企業に現実的な脅威モデルを提供し、予期しない金銭的損失が生じないよう、事前にサイバーリスクの金銭的リスクを検討できるよう支援する。
現況
サイバーセキュリティに対して、企業や消費者が従来抱いていた考え方を比喩的に表現すれば、宝物を城の中に置き、堀で囲んで守るといったものだった。一連の措置が事前に決められていて、一度実行すれば資産の保護は保証される。実際に即して言えば、これは周囲の防御を基本にした手法であり、ウィルス撃退ソフトやファイアウォール、アイデンティティ管理、暗号化といったレイヤー化した技術を用いて「保護」することに焦点を当てている。しかし、このような一連の防御措置に対して一度の投資を行うだけでセキュリティが保てるほど、現実は甘くない。すなわち、いかなるセキュリティ手法でもすべての攻撃を防げるわけではなく、もし攻撃自体を特定できなければ、被る被害はかなり大きくなっていく。2020年に企業が侵害の特定(MTTD: 平均検出時間)と阻止(MTTR: 平均復旧間)に費やした時間は平均280日と算定されている。発見までにこれほど時間がかかっていれば、その間に既に損害が発生していることが少なくないのである。
リスクが少なからず存在することを大前提とした手法が普及しつつある今日、もはや目標はリスクの完全な排除に努めることではない。むしろ、攻撃が成功する確率を常に把握しつつ、この確率を最小化し、対策コストを予測可能にすることが目標であり、ひいてはサイバーリスクを制御可能なものに、ビジネスコストを測定可能なものにすることである。より具体的には、サイバー攻撃が実行され得る範囲を広く想定し、あらゆる局面に対してソリューションを準備しておく手法である。NIST(米国商務省傘下の国立標準技術研究所)が設定した標準サイバーセキュリティフレームワークに従えば、特定、防御、検知、対応、および復旧を実践することにあたる。サイバーリスクに対するこのような包括的視点を持つことで、企業は攻撃による金銭や評判への被害を最小化し、MTTDとMTTRの日数を1桁代にすることが可能になる。
サイバー犯罪の影響が増大し、またサイバーセキュリティに対する観点が上記のように刷新されるにつれて、2017年以降、サイバーセキュリティ費用は年率10%で増加し、 2020年には世界全体で410億ドルに達した。そのうち日本に関連した金額は10億ドルである。費用の支出元は、金融、製造、公共、小売、ヘルスケア分野に集中しているが、逆に言えば、これらの分野がサイバーリスクに曝される確率が高く、規制要件の強化が進んでいることを示唆している。
サイバーセキュリティを提供する事業者には、ITサービス事業者、包括的セキュリティサービス事業者、および特化型セキュリティサービス事業者の3種類が存在する。
第1分類の事業者には、クラウドインフラやOS、ネットワーク、機器など「技術スタック」全体にソフトウェアサービスを提供する企業が含まれる。IBM、Microsoft、HPのような企業は、不可欠な機能としてサービスポートフォリオにサイバーセキュリティ機能を含めていることが多い。また、サイバーセキュリティは通信の隣接分野であり、NTTなどは包括的なセキュリティサービスを開発している。
第2分類の事業者には、技術スタックの複数階層を対象にセキュリティに特化したソリューションを提供する企業が含まれる。例えば、BroadcomやCrowdStrikeは、エンドセキュリティ(例、アンチウィルスなど)、ユーザーアイデンティティ管理、クラウド・インフラ・モニタリングなどのサービスを提供している。特にテレワークの広がりによって、保護された企業ネットワークの外部で接続するユーザー数が増えていることから、エンドポイントセキュリティの重要性が高まっている。そのような場合、VPN(仮想プライベートネットワーク)を利用すれば、パブリックインターネットでも同等のサイバーセキュリティを確保することができ、データ盗難のリスクに曝されずに企業リソースに遠隔アクセスできる。包括的セキュリティサービス事業者の別の例として、CiscoやPalo Alto Networksが挙げられる。このうちPalo Alto Networksは、ネットワークやクラウドのセキュリティから包括的なセキュリティ運用に至るサイバーセキュリティソリューションまで、サービス一式を提供する。ネットワークセキュリティとは、資産やネットワークの全トラフィックのセキュリティを確保するために組織が設定する戦略や対策であり、物理的およびソフトウェアによる予防策を施してネットワークを不正アクセスから保護しようとするものである。クラウドセキュリティとは、クラウド上にホスティングされたデータ、アプリケーション、インフラを保護するために実装される技術やポリシーを指す。クラウドサービスへの依存度の増大、テレワークの急速な拡大、データ保護やプライバシーの厳格化を要求する新たなコンプライアンス規則やプライバシー法を順守する必要性などから、組織にとって今やクラウドセキュリティは最重要事項となっている。
第3分類の特化型セキュリティサービス事業者は、技術スタックにおける1つまたは少数の階層に対してセキュリティを提供したり、サイバー攻撃の1つの段階の対策に特化したりするなど、いわゆる「ポイントセキュリティ」に注力している。例えば、CloudflareやFortinetはクラウドとネットワークのセキュリティを提供するのに対し、VaronisやDarktraceは社内外の加害者からの脅威の検出に注力している。
今後の技術発展の方向性
サイバーセキュリティの進歩は、総じてコンピューターサイエンスと電子工学の発展に強い影響を受けており、それらの技術開発の中には、技術スタックにおける個別階層に商業用途を見出せそうな有望なものがいくつかある。
クラウド化やテレワークの拡大によってデジタルインフラや脅威環境が変化していることに応じて、「ゼロトラスト」という戦略がITインフラのあらゆる階層に適用可能なサイバーセキュリティア手法として広まりつつある。「ゼロトラスト」の考え方に立てば、「ファイアウォール」(加害者がプライベートシステムにアクセスするのを防止する一連の保護機能)内のすべてが認証済みであり、安全であると仮定することは、典型的な過ちとなる。ここでは、悪意ある社内加害者(例: 従業員)を考慮しておらず、ファイアウォールを完璧にすれば、外にある脅威を検出できると仮定しているからである。対して、「ゼロトラスト」戦略は、ユーザー、アプリケーション、エンドポイント、ワークロード、コンテンツの中で、大前提として信頼できるもの何一つないと仮定する。誰かがデータベースやディレクトリにアクセスしたり、要求を提出したりするたびに、その正当性を会社のセキュリティポリシーに照らして確認しなければならない。CiscoやPalo Alto Networksといったサイバーセキュリティのトップ企業は、自社インフラ、データセンター、クラウド環境といったすべての場所に「ゼロトラスト」ポートフォリオを提供している。
パブリックとプライベートの両ネットワークを侵入や不正利用から保護するネットワークセキュリティは、AIの適用や「標的移動防御」(MTD: Moving Target Defense)といった新規概念のおかげで、目覚ましい進歩を遂げている。AIを適用することで、ネットワーク上の異常な活動を検出し、先制的に対処する「予測的脅威インテリジェンス」ソリューションを提供することが可能となる。Darktraceなどが導入を促しており、今後5年間での広範な普及が予想される。基本的構成を絶えず変えることを通じて資産を保護するMTDは、攻撃に要する時間とコストを著しく増大させることで攻撃を断念させることを目的としている。MTDはデータやエンドポイントの保護に成功しており、2025年までにネットワークセキュリティ向けの活用が商業化されることが期待されている。
「アイデンティティとアクセスの管理」(IAM)は、リソースへアクセスするユーザーの識別、適切なアクセス許可または拒否を目的としたセキュリティポリシーと技術のフレームワークである。この分野では、生体認証(例: 指紋認証、顔認証など)が速さと精度の点で大きな進歩を遂げ、スマートフォンに適用されている他、インフラ管理にも使われている。中国のテック系大企業であるBaidu (百度)では、入館バッジに代えて顔認証を使用しており、日本では待ち時間の短縮とセキュリティの向上を目的として空港への導入が始まった。このまま進化し続ければ、DNAといったその他の特徴に基づく生体認証の商業用途も見出される可能性が高い。他に興味深い認証技術としては、アクセスパターン(例: 場所、時刻、機器タイプなど)に基づいて挙動を変えたり、ユーザー固有の知識(例: 問答による認証)を要求したりする、背景情報の認知に基づく認証がある。
IoTの成長によって、何百万台もの機器をインターネット接続できるようになった結果、以前なら攻撃者たちがアクセスできなかったり、価値を見出さなかったりした箇所が新たな攻撃対象となりつつある。多くのIoT機器はFPGA(フィールド・プログラマブル・ゲート・アレイ)と称されるプロセッサーを基盤にしているが、FPGAは大量生産向けのカスタマイズでは費用対効果に優れているものの、保護機能は不十分なことが多い。Palo Alto Networksが発表した「2020 年 – Unit 42 IoT 脅威レポート」によれば、IoT機器の57%が中程度~高深刻度の攻撃に対して脆弱であることが分かった。IoT機器の全トラフィックのうち98%は暗号化されておらず、攻撃者にとってIoTは簡単にもぎ取れる果実のような状態を呈している。例えば、2019年にスマートホーム・ソリューション・プロバイダーのOrviboは、ユーザーや機器に関する20億件以上の記録がデータ漏洩に遭っていると報告している。重要資産のトラッキングや運用に産業用IoT機器の使用が増えるにつれて、ハッキングの懸念も増大しており、そのことがIoTセキュリティの研究を後押ししている。
他には、スマートフォンやラップトップPCなどの個別機器を保護するエンドポイントセキュリティが暗号化技術の進歩の恩恵に浴するだろう。「ポイントツーポイントの暗号化」(PTPE)は2015年からWhatsAppなどのメッセージングシステムのコンテンツ保護に使用されているが、それを実装するソフトウェアツールが簡単に利用できるようになれば、ほどなくしてデファクトスタンダードになると思われる。今後10年間に量子コンピューティングの安定した進歩が量子暗号を現実化すると、現在の暗号アルゴリズムの多くが時代遅れとなり、「耐量子暗号」のニーズが生み出されるだろう。英国を拠点とするスタートアップのKETSは通信を保護する量子チップを開発しており、シンガポールを拠点とするSixscapeとフランスのスタートアップCryptoNextは耐量子セキュリティソリューションの開発に取り組んでいる。
将来の主要な適用事例
すぐに利用できるクラウドインフラや高度なソフトウェアを使用したサイバー攻撃が簡単に行えるようになるのに応じて、サイバー脅威も増大し続けるだろう。さらには各産業おいてデータやプロセスのデジタル化が進むにつれて、あらゆる企業が自分たちも攻撃対象になり得るのだと自覚するよう迫られている。
こうした動向から、デジタル成熟度が個々に異なる企業を対象にした包括的ソリューションの需要が高まっている。提供サービスがバンドル化されたり、企業間のパートナーシップが結ばれたり、企業買収によって複数のポイントソリューションが統合プラットフォームに集約されたりするにつれて、今まで断片的だったサイバーサービス市場も標準化が進んでいくことだろう。さらに、パブリッククラウドの採用が増えるに従って、サイバーサービス事業者はユースケースを絞れるようになる。ハイブリッドクラウドのアーキテクチャーが利用されるようになると、一元的なセキュリティソリューションの必要性が高まることが予想される。
上記の標準化の流れ以外にも、ユーザーリテラシー、アウトソーシング、機能の自動化、機能の相互連携といった要素が、サイバーセキュリティの実装を促進する要因となるだろう。
まず、主要なサイバーセキュリティ機能の自動化と相互連携は、サイバー人材不足の解消に有効である。データ量が増加する中、自動化を促進するコア機能の主要候補として挙げられるのは、SOAR(Security Orchestration、Automation and Response: ITインフラ上の活動を管理する一元的プラットフォームを提供し、セキュリティ要員の対応管理を支援する)、MDR(Managed Detection and Response: 企業のプライベートネットワーク上で悪意ある活動を特定する)、およびXDR(eXtended Detection and Response)である。
次に、サイバー・セキュリティ・サービスのアウトソーシングは2通りの方法で行われるだろう。1つはターンキー方式、すなわちソフトウェア・アズ・ア・ソリューション(SaaS)の形態である。もう1つは、ソフトウェアベンダーの提供するサービスに必須機能として組み込まれる形態である。特に、ソフトウェア開発の大部分がアウトソーシングされる日本において、実装の遅延という多大なリスクを発生させることなく安全にシステムを実装しようとすれば、開発プロセスの抜本的な変更が必要となる。セキュリティの精査と実装が「ウォーターフォール型」プロジェクトの実装プロセスの最終段階に残される場合、コンプライアンスに準拠させるために大掛かりな再作業が必要となるリスクがある。そうした大幅な遅れや多大なコストを回避しようとするならば、セキュリティをプロジェクトの最初に(「セキュリティ・バイ・デザイン」)、あるいは開発・試験・実装を通して組み込むことが不可欠となるだろう。このように企業にはDevOpsから「DevSecOps」への移行が求められる。DevSecOpsは、最初は時間が無駄にかかるように思われるかもしれないが、長い目で見るとプロジェクトの実施期間を大幅に短縮できることが分かっている。
サイバーセキュリティは、コンピューターサイエンスの複合的分野であるが、多くのユーザーがデジタル化の安全性について教育を受けておらず、またほとんどのソフトウェア技術者も安全なインフラ構築の十分な知識を持っていない。日本ではいくつかのスタートアップが、こうした「サイバー人材不足」に対処しようとしている。企業診断やコンサルティングサービスを提供しているINITIALのレポートによれば、ルートリフ、Flatt、グローバルセキュリティエキスパートといった企業が、企業と技術者を対象にセキュリティのベストプラクティス研修を提供しようと8億5400万円(約800万ドル)の資金を調達している。
なお、上記に挙げた点はどの国にも言えることである一方、デジタル変革の比較的初期段階にいる日本は、むしろ、これから出てくる次世代のサイバーセキュリティソリューションに投資しやすい位置にいることに注目すべきである。デジタル化は、多大な価値をもたらす一方で、オンラインバンキング、電子カルテ、コネクテッドホームなどのユーザー数が増加することから、加害者の攻撃に曝される範囲が広がることにも繋がる。日本の企業がサイバーリスク戦略を実行に移すタイミングとして、今すぐ先制的に対処するか、政府の規制強化を待って対応を検討するか、あるいは、サイバー攻撃を直に経験した後に始めて本格的に取り組むか、3つの選択肢がある。当然、後ろの選択肢を選ぶほど、最終的に企業が被るコストは膨大なものとなる。