第1回 セキュリティリーダーのためのマクロ環境分析
企業のセキュリティ戦略を担うリーダーが把握しておくべき直近3か月の事象を、政治・経済・社会・技術・脅威の観点から解説し、セキュリティ戦略を練る上で参考となる洞察を提供します。
連載記事第2回はこちら
はじめに
優れた戦略は、環境変化の正確な理解により生み出されます。それは、サイバーセキュリティ戦略も例外ではありません。トレンドマイクロでは、お客様のサイバーセキュリティ戦略に役立つ情報を提供するために、四半期ごとにマクロ環境分析を行っています。
本ブログでは、直近三か月に起きた出来事を、政治・経済・社会・技術・脅威の観点から解説し、サイバーセキュリティにどのような影響を及ぼし得るかを考察します。本ブログでは触れていない出来事も多くありますので、さらなる詳細はダウンロード資料にてご確認ください。
政治:経済安全保障推進法の成立と公布 2022年4月から6月にかけての3か月間は、ウクライナ侵攻の影響を色濃く反映しながら市場が動いた期間でした。民間企業を中心としたロシア市場からの撤退および休止や、それに伴う資材調達の見直しが行われ、私たちは地政学的リスクによってもたらされる非連続な変化を目の当たりにしました。その渦中で、日本においても5月11日に、参院本会議で「経済安全保障推進法案(経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律案)」が可決されたことが、政治観点での今回のハイライトと言えるでしょう。
法案の詳細な説明は他に譲りますが、サイバーセキュリティ責任者がこの動向を追うべき理由は、本法案の4本柱のひとつである「基幹インフラの事前審査」がサイバーセキュリティと密接にかかわる領域だからです。厳密には、4本柱のすべてにサイバーセキュリティが関わってくるものの、他国からの高度なサイバー攻撃を想定した上で防御するという点で、「基幹インフラの事前審査」は法案の中枢と言えます。
民間企業における調達の条件は大抵の場合「低コスト・高機能」ですが、そこに「高セキュリティ」が加わることが本法案による最大の変化です。当面は「どこまでが基幹インフラか?」「どこまで高度なセキュリティを期待すべきか?」という議論が行われると予想されますが、そのルールメイキングに参入する民間企業が市場優位性を確保しやすくなると思われます。
経済:サプライチェーン防衛ニーズの一般化
経済の観点で注目すべき事象を一つ上げるとすれば、間違いなく『サプライチェーン・セキュリティ』でしょう。現代市場は、グローバル規模で展開される複雑なサプライチェーンに依存しているため、サプライチェーンの断絶や機能不全が市場全体の落ち込みを引き起こす可能性があります。そのサプライチェーンの分断を引き起こす要因として、ここ数年で特に注目を集めているのがサイバー攻撃です。昨年に起きたコロニアル・パイプライン社の事例をはじめ、小島プレス工業へのサイバー攻撃も、サプライチェーン攻撃の事例として私たちの記憶に新しいところでしょう。
このようなサプライチェーン・セキュリティリスクの高まりは、統計的にもその傾向が見られます。トレンドマイクロと日経リサーチが今年6月に共同で実施した調査によると、企業の約4割が、過去に自社の供給網へのサイバー攻撃を経験していることが分かりました。また、2021年に入ってからサプライチェーンへのサイバー攻撃が急激に増えていることも、同調査から見えてきました。セキュリティ関係者が昨年あたりから持っていた「サプライチェーンへのサイバー攻撃が増えているのではないか」という肌感覚は決して間違いではなく、サプライチェーン・セキュリティのニーズはすでに一般化したと言っていいでしょう。
今後は、サプライチェーン・セキュリティに関する議論がマジョリティも含めてあらゆるレベルで語られるようになると考えられるため、今後1年間はサプライチェーン全体のセキュリティレベルを上げていく好機となるでしょう。その中で懸念があるとすれば、「サプライチェーン・セキュリティ」の定義が多様化する可能性があることです。サプライチェーン・セキュリティは非常に広範な知識を必要とする分野だということを忘れずに、多面的な視点を持つように心がけましょう。
社会:ランサムウェア攻撃の標的としての医療機関 新型コロナウイルスの蔓延によって引き起こされた社会的課題のひとつに、医療機関の事業継続性があげられます。人命に直結する現場という意味でサイバーセキュリティ業界でも以前から注視されてきたセグメントでしたが、今まで理論上のものとして語られてきたリスクが現実のものとなってきた感があります。2019年7月、米国アラバマ州スプリングヒル・メディカル・センターがランサムウェア攻撃を受け、電子カルテや心拍監視システムが使用不可能になるという混乱の最中、新生児が命を落とすという悲劇が起きました。その審理は今年11月に行われる予定で、結果次第ではランサムウェア攻撃による初めての死亡事例と認定される可能性があります。日本国内でも徳島県つるぎ町立半田病院が被害に遭い、通常の業務運営に数か月間にわたって支障が出ました。統計的にもランサムウェア攻撃の被害を被った医療機関は増加傾向にあります。
ランサムウェア攻撃を実行するサイバー攻撃者の目的は経済的利益であるため、攻撃者側には人命を奪うという明確な意思はないかもしれません。しかしながら、オペレーションの停止が人命に直結する現場に影響が出た場合、攻撃者側が意図せずとも「非人道的行為」に及んでしまう可能性があります。そのような潜在リスクと上述した複数の要因が相まって、病院をはじめとした医療機関には事業継続確保に対する社会的圧力がさらに強くなると予想されます。
技術:PQCの新標準アルゴリズム 米国立標準技術研究所(NIST: National Institute of Standard and Technology)は7/5、量子コンピュータ技術を活用した攻撃から機密データを保護することを目的とするアルゴリズムとして、4つの暗号化ツールを選択したと発表しました。これは、NIST PQC(Post Quantum Cryptography)標準化計画の結果で、2017年11月の「公開鍵プリミティブ」の公募締切からの約5年の検証を経て、新アルゴリズムが選出されました。
世界的な動きとしては、2048ビットのRSA暗号が2030年には危殆化するという前提でPQCの標準化が進んでいます。2024年には標準ガイドラインが制定され、そこから2030年までが実装フェーズになると考えられていますが、セキュリティ的な関心と問題は、いつごろ量子コンピュータ技術が実用化されるのかという点です。これは専門家の間でも議論が分かれるところですが、量子コンピュータであれメタバースであれ、先端技術領域には悪意あるアクターが常に存在します。また、2022年5月13日には、IBM社が量子コンピューティングに関する新たなロードマップを発表しました。
量子チップとして、2025年までに複数のモデルを公開する計画を明らかにしています。量子コンピュータ技術の確保は国家にとっても重要課題であるため、今後も開発競争が加速していくものと考えられます。セキュリティ専門家としても、各国の状況を含めて開発動向を追っておく必要があるでしょう。
脅威:初期侵入から実行まで4時間を切るランサムウェア トレンドマイクロが対応したセキュリティインシデント事例の統計によると、ランサムウェア攻撃者が初期侵入からランサムウェアの実行までに費やす時間は、平均して6.55日です。これは、セキュリティ責任者がセキュリティ検知および対応ポリシーおよびプロセスを設計する際の、一種のベンチマークとなる数字です。しかし、その数字から大きく逸脱するランサムウェア攻撃の事例が観測されました。The DFIR reportによって報告された内容によると、そのTTR(Time-To-Ransomware:初期侵入からランサムウェアが実行されるまでの時間)は3時間44分。驚異的な数字です。
最近の主流となっているランサムウェア攻撃手法においては、端末侵害および環境侵入後の活動でPsExecなどの正規ツールが悪用されるケースが増えています。このような「攻撃者が好んで使う手口」を特定し、検知と対応を迅速かつ適切に行えるシステム運用が、被害の抑制に必要です。そしてこのような検知から対応までのプロセスを考える上で、今回の事例における「4時間以内」というTTRを1つの参考値とすべきでしょう。
まとめ 2022年4月~6月の期間は、地政学的な揺らぎによる経済への影響と、安全保障に対する感度を上げざるを得ない期間だったと言えます。また、一昨年ほど前から頻繁に耳にするようになった「経済安全保障」や「サプライチェーンリスク」という言葉が、新聞やニュースなどでもほぼ毎日のように扱われるようになっています。弊社にも、サイバーセキュリティに関する教育のご相談を多くいただくようになりました。企業経営に携わる方はもちろん、法人のリスク管理部門や調達部門、事業責任者の方々にも、サイバーリスクマネジメントのスキルが求められるようになったのは、大きな変化と言えます。
法人のセキュリティ責任者がカバーすべき話題は、日々変化し、増え続けるばかりです。我々トレンドマイクロがご提供する情報が、デジタル社会で戦うセキュリティリーダーのみなさまの一助になれば幸いです。
本記事は連載記事です。以下から続きをご覧ください。
関連記事
石原 陽平
トレンドマイクロ株式会社
セキュリティエバンジェリスト
CISSP。犯罪学学士。経済安全保障コーディネーター。世界各地のリサーチャーと連携し、サイバー犯罪の研究と情報発信を担う。また、サイバー空間における脅威概況や特定専門領域(産業制御システム/IoT/5Gなど)のセキュリティ調査/発信も担当。日本の組織の経営・役員に向けた講習、サイバーセキュリティの国際会議での講演などを通じ、ビジネスとデジタル技術の関係性や、サイバー事故の犯罪学的/地政学的考察に基づく、サイバーリスク対策の啓発を行う。
講演実績:Gartner IT SYMPOSIUM/Xpo™ 2023、SANS ICS Summit 2022、CYBER INITIATIVE TOKYO(サイバーイニシアチブ東京)2022、デジタル立国ジャパン・フォーラム 2022、制御システムセキュリティカンファレンス 2021・2022など
Security GO新着記事
PCI DSSとは? クレジット産業向けのデータセキュリティ基準を解説
(2024年10月11日)
委託先へのサイバー攻撃、どう防ぐ
(2024年10月9日)
能動的サイバー防御とは?日本でも必要性が高まる理由を解説
(2024年10月9日)