2018年に報告されたデータ侵害数GDPR の要件がもたらした結果であるということに異論がある人もいますが、多数の最新違反レポートによると、2019年のサイバーセキュリティは厳しい年になりそうだということです。私は CISO オペレーションズ担当 VP Joan Pepin 氏 および セキュリティ&エンジニアリング オペレーションズ ディレクター Duncan Godfrey 氏 に今年の予測を伺いました。

「.@auth0’s @CloudCISO_Joan 氏およびセキュリティ&エンジニアリング オペレーションズ ディレクター@duncangodfrey 氏は2019年サイバーセキュリティ予測トップ5を共有しています。」

Reduced Security Spend Will Lead to Economically Motivated Cybercrime

1.セキュリティ予算の削減は経済的な目的によるサイバー犯罪につながる

テクノロジー企業が最近の市場調整の衝撃を負担しており、米国や世界の経済指標は良いように見えない、と Auth0 CISO/オペレーションズ VP Joan Pepin が言います。「2019年はセキュリティ資金にとっては厳しい年になり、そのスペクトルの企業は情報セキュリティ予算を凍結するか、または削減すると予測します。2019年の経済苦境の増加と防衛姿勢の削減はおそらく、経済的な目的によるサイバー犯罪増加につながると見ています」。

Information Warfare Around the Globe

2.米国企業、特に防衛と通信を対象とする情報戦争

「貿易戦争が続き、カナダや米国によるファーウェイに対するアクションで反発を買うと、中国とは新たな冷戦に入る可能性 があります」と、Pepin 氏は言います。「これは、すでに活発になっている中国政府によるサイバー活動を増やすことになり、ロシア風の虚偽情報や情報戦争 を増やすなどその活動を広げることにもなります。主要米国企業、特に防衛と通信の大規模プロバイダーが、2019年にはこの手の活動の対象になるだろうと予測します」。

Kubernetes Vulnerabilities Lead to the Year of the Big Container Escape

3.Kubernetes の脆弱性は「大きなコンテナの脱出」につながる

2018年12月初め、ZDNet が Kubernetes コンテナとの大きなセキュリティ脆弱性を報告 したとき、「Kubernetes は最も人気のあるクラウドコンテナオーケストレーションシステムであるがゆえに、大型セキュリティ ホールが初めて発見されるのは時間の問題だった」と述べました。

「完璧なソフトウェアはない」という知らせは開発者や企業に認められていますが、消費者にも認められてきています(予測第4参照)。

Kubernetes の権限昇格の脆弱性は重大事ですが、システムに欠陥が発見 されたのは最近のこと、と Auth0 セキュリティ&エンジニアリング オペレーションズ ディレクター Duncan Godfrey が言及します。「Kubernetes インフラストラクチャ層の脆弱性が発見され続け、2019年の一大事はコンテナの脱出の年です」。

Cybercrime Accepted as Cost of Doing Business by Consumers

4.サイバー犯罪は「ビジネスを行う費用」として消費者に受け入れられている

Facebook によるユーザーの許可なしで個人テータをその他企業に共有するなどの一連の違反 で、開かれた調査を何度も行ったにもかかわらず、Pepin 氏は消費者がビジネスとして反応し(Facebook の弁護士が対応する)ているので企業への永続的な影響は予測していません。

Pepin 氏は外部委託セキュリティプロバイダーとしての長年の経験から Fortune 100 および Fortune 500 企業のインシデントに対応する企業の一例を示しました。

ある一流投資銀行がサービス拒否攻撃を受け、公衆サーバーが侵害されるという重大な問題を抱えていました。シスコやチェック・ポイントのほかに、銀行の副社長30名を含む全ベンダーと電話会議を行ったとき、銀行の CTO が「これは他の人社にも発生しているか」という質問をしました。

Pepin 氏はそれに対して回答する前に、その質問に回答するチームの注意をそらすつもりか、そして、その回答が「YES」であれば、どのようにやり方を変えるつもりか、と尋ねました。彼はその回答が「YES」であれば、「気が楽になる」と答えました。これは、企業がオンラインでビジネスを行う費用に落ち着いてしまう主要な例です(その特定費用を認める必要があるか否かは議論されるところですが)。

「個人情報が盗まれることはその個人にとって恐ろしいいことですが、私の観察によるとたくさんの人々が影響を受けるときはその認識は異なってきます。侵害の後でも、人々は各自の習慣を変えないのです。人々はターゲットで買い物をし、マリオットに宿泊し、Facebook で情報を共有し続けます。私は心理学者でも神経科学者でもありませんが、このような事実があるため、消費者がサイバー犯罪をオンラインで事業を行うための費用として認める傾向が2019年も継続すると信じています」。

企業が変わるための経済的な目的がなく、消費者は権限が与えられないので(少し考えて見てください。集団訴訟によるわずかな支払い は個人情報を盗まれたことによる損害や頭痛の代価にはなりません)、Pepin 氏は取締官が介入すると予測します。これが、予測第5につながります。

Expect More Data Privacy Regulation in 2019

5.データプライバシー規制の強化

マリオットの大規模侵害 の後まもなく、英国、FBI、および米国の3つの州が調査を始めました。マリオットの株式下落は多数のニュースで伝えられ、米国株式市場に似ていると、Pepin 氏は言います。罰金は一部抑止として役割を果たしますが、調査や規制はアジャイル技術のライフサイクルよりもずっと遅いペースで動くので、事業の結果は変化が必要な技術に大きく後れを取ることがよくあります。

GDPR はレポートされた侵害の増加を配信していますが、72 時間以内の侵害報告義務 の規制内でははっきりされておらず、オーストラリアの最近の規制は同期問題以上のものを示しています。オーストラリアの新しい裏口要件 は機能を安全にするテクノロジー企業の能力不能にする文書だと、Pepin 氏は言います。

その答えは、技術産業が規制を担当する人々を教育するためにより一層の意見を述べ、健全な議論を行い、法執行機関に力を与えることだと、Pepin 氏は言います。

技術産業がこれら理想的な状況に影響を及ぼすことができるか否かにかかわらず、2019年の米国ではより一層の規制が予測されるというあらゆる兆しが出ています。

「経済、Kubernetes 脆弱性、および消費者の無頓着が2019年に規制強化に相当すると、CloudCISO_Joan および Security & Ops Eng. Dir.  @Duncangodfrey は言います。」

Auth0 について

Auth0 は IDaaS (Identity-as-a-Service)におけるグローバルリーダーで、Web やモバイル、モノのインターネット (IoT)、内部アプリケーションで必要とされるユニバーサル ID プラットフォームで何千もの企業顧客に提供しています。ひと月25億回以上のログインをシームレスに認証・保護するその拡張プラットフォームはデベロッパーに愛され、グローバル企業に信頼されています。米国本社はワシントン州ベルビュー市に位置し、ブエノスアイレス、ロンドン、東京、シドニーにもオフィスを構え、70か国以上のお客様をサポートしています。

詳細については、https://auth0.com/jp/ をご覧いただくか、@auth0_jp on Twitter をフォローしてください。