2019 年、データ侵害の発生件数は過去最大となりましたランサムウェア攻撃の増加に加えて、カリフォルニア州でプライバシー保護法 (CCPA) が発効され、インドでもデータ保護法の審議が進められているなど、データ プライバシー規制の拡大により、セキュリティとコンプライアンスの融合が急務となっています。

今回は 2020 年の展望について、Auth0 の最高セキュリティ責任者の Joan D. Pepin とセキュリティおよびコンプライアンス担当シニア ディレクターの Duncan Godfrey に話を聞きました。

1. クレデンシャル スタッフィングは「簡単な攻撃」として続けられていく

ハッカーがあるサイトからログイン資格情報を盗み出し、同じ資格情報を使用してユーザーの他のアカウントに侵入するクレデンシャル スタッフィング攻撃は、今後も「インターネット上で最も簡単な攻撃」になると Joan は予測しています。

「既に何百万ものユーザー名とパスワードが侵害されており、ほとんどの人がどこでも同じパスワードを使用しています。こうした資格情報は無料または安価で提供されているうえ、ユーザーのアカウントにログインできれば実際の利益につながるものが手に入ります。「悪意のある行動」と「侵害」と「利益」がそろえば「インターネット上で最も簡単な攻撃」の完成です。Auth0 では、単一の IP アドレスから毎日 50,000 件もの攻撃を検出しています」

"@CloudCISO_Joan がクレデンシャル スタッフィング攻撃は 2020 年も続くと予想する理由と、その対策方法を確認してください。#2020prediction #cybersecurity"

この世界的な課題に伴う企業へのリスクは、以下の対策を行うことで軽減できると Joan は提言しています。

  • 顧客の資格情報が侵害されないように (そして問題に巻き込まれないように) 可能な限りの措置を講じる
  • 侵害された資格情報を使用していることをユーザーに通知するソリューションを導入する
  • ユーザーが資格情報を簡単に変更できるようにする
  • 90 日間が経過したらパスワードを変更するポリシーの復活を検討する
  • パスワードよりも優れたソリューションの開発に業界を挙げて取り組む

2. ハリウッド映画のような AI の実現は遠い

「2020 年、サイバーセキュリティ業界は『ターミネーター』 のような高度な AI が生み出されるという未来予想図を取り下げることになるでしょう。AI に焦点を置いたセキュリティ製品は、万能なソリューションになるという期待に応えられず、勢いを失っています」と Duncan は話しました。

「現在は、さまざまな異なるテクノロジがひとくくりに「AI」と呼ばれています。AI と言えば『ターミネーター』『マイノリティ・リポート』といった映画を思い浮かべる方が多いのですが、AI セキュリティ製品のほとんどは、実際には機械学習アルゴリズムを使用したもので、将来を予知できるコンピューターを使用しているわけではありません。AI を謳うサイバーセキュリティ製品は数多く出回っていますが、ハリウッド映画で描かれているような性能は期待できません」

マーケティングの誇大宣伝とは裏腹に、AI の効果はまだ不十分だと Duncan は言います。

"セキュリティおよびコンプライアンス担当シニア ディレクターの @duncangodfrey は、AI サイバーセキュリティ製品は 2020 年に失速すると予想しています。皆さんはどう思いますか? #2020prediction #cybersecurity"

「セキュリティに近道はありません。依然として大変な基礎作業を行い、サイバー衛生を徹底することが求められています。現在の AI が解決しようとしているのは高次元の抽象的な問題であり、大部分の企業のニーズとはかけ離れたものです。もちろん、このテクノロジにまったく価値がないとは思いません。事実、コンテンツ認識や顔認識の分野では大きな進歩が見られています」

とは言え、この状況が永遠に続くわけでもないようです。Duncan はこうも述べました。「こんな予測を立てても、50 年後には単に新たなテクノロジの導入に否定的な人間だったと振り返られることになるかもしれません。しかし、そのころの未来で使われているのは、ここ数年の AI が打ち捨てられ、その残った灰の中から生まれたテクノロジであることはおそらく間違いないでしょう。『I'll be back』というセリフが聞こえてくるかのようです」

3. CCPA にビジネス チャンスが集中する

GDPR の施行によって多くの企業は変革を求められましたが、中には対応する必要のない企業もありました。Joan によれば、カリフォルニア州消費者プライバシー法 (CCPA) の方が、影響が広範囲に及ぶようです。「GDPR への対応を回避できた企業でも CCPA には対応する必要があります。こういった企業は EU の規制の影響を受けるほどの大企業ではなく、十分な準備ができない可能性があります。つまり、CCPA の方が GDPR よりも重大な課題をもたらすと考えられます」

4. 自動運転車に対する攻撃が増加する

自動運転車テスラのハンドルを握りながら居眠りしても、大した危険はないように思えます。しかし、サイバーセキュリティの内情を知れば、そんな考えも変わるでしょう」と Duncan は警鐘を鳴らします。

「自動運転システムに依存する傾向は進んでおり、現在では完全自動運転車のテストが盛んに行われています。この技術を支えるのは、メーカーが運営する管理・制御ネットワークです。この技術が私たちの生活に浸透するにつれ、その安全性に疑問がわいてくることでしょう。2019 年に行われた調査によると、自動車エンジニアの 84% が自社のシステムは最新の脅威に対処できていないという懸念を示しました。自動運転車に対する小規模なハッキングは既に確認されていますが、制御ネットワークが侵害され、数千、数万台の自動運転車が同時にハッキングされたらどうなるでしょうか。これらのネットワークは国家の重要インフラとなるものであり、電力網や電気通信網と同様に脆弱です。つまり、まったく新しい種類の社会インフラとして保護する必要があるのです。私は、単独またはグループの自動車をねらった攻撃が増えると予想しています。こうした課題が浮き彫りになる中で、企業は自社システムの保護対策を講じ、この課題を真剣に受け止めている姿勢を社会と顧客に示す必要があります」

5. サイバーセキュリティには「時代遅れの作業」が必要になる

GDPR や CCPA などのプライバシー規制により、セキュリティとコンプライアンスの融合が促進されているというのが Joan の見方です。しかし、次善のサイバー ツールに解決策を見いだすことはできません。

「十分な検討が必要です」と Joan は言います。

「財務チームが企業の資産と負債を十分に把握しているのと同様に、情報セキュリティ チームやデータ チームなどはデータの資産と負債を理解しなくてはなりません。いくつものチームの間で責任の所在があいまいになっているなら、そこから考え直しましょう。まずは資産と負債を書き出してください。計画は策定していますか? 責任者はだれですか? どの法律、規則、基準、ベスト プラクティスに準拠していますか (または準拠していませんか)? 簡単に修正できるものは何ですか? 修正が困難なものは何ですか? これはいかにも時代遅れで「サイバー」とは無縁の作業です。最高財務責任者、最高情報セキュリティ責任者、最高プライバシー責任者、最高データ責任者など、だれかがこのプロジェクトを主導し、インベントリを作成して、計画を策定する必要があります。そして「サイバー」という言葉を口にしたら罰金を払うようにルールを作っておきましょう。「サイバー」な作業は必要ないのですから」

6. 情報戦が加熱する

タイトルに「トップ 5」と書きましたが、もう 1 つ外せない点がありました。こちらの Forbes の記事では、情報戦とサイバー戦争の関係について Joan の見解が紹介されています。この件については、別の記事でさらに詳しく取り上げることにします。