2023年に向けたIT企業のトップメッセージや年頭所感を紹介する。
F5 アジア太平洋・中国・日本担当シニア・バイスプレジデント Adam Judd氏
2022年は新型コロナウイルス感染症によるパンデミックが継続し、オンラインでのサービスやビジネスが我々の生活を支えた1年となりました。また半導体不足により製造業全体が影響を受け、製品の納期が長くなるなど、IT業界にとってはハードウェアからソフトウェアへの検討・移行が進んだ年でもありました。当社といたしましても、F5の25年の進化の節目となった2022年に、従来からあるハードウェアやソフトウェアに加え、新たにSaaS型サービスである「F5 Distributed Cloud Services(F5 XC)」を発表するなど、よりクラウドへシフトし、迅速にお客様を支援させていただいたことをうれしく思います。
加えて、クラウドプラットフォームであるF5 XCを通じて、モダンアプリケーションに必要とされるセキュリティ(WAAP)、さまざまなサイトやクラウドを素早くセキュアに接続(MCN)、クラウドからコンテナ、アプリ実行環境に対する俯瞰的な監視(AIP)など、数多くの新サービスを立ち上げました。デジタル変革(DX)を素早く立ち上げる支援をさせていただき、世界中のお客様のビジネスや暮らしを更に安心・安全にできるよう、今後とも貢献してまいります。
2023年の見通し
2022年度は新型コロナウイルスの影響を受けたものの、部分的にオフィス回帰が進むなど、ハイブリッドなワークスタイルへの変化も見えてきた1年となりました。2023年においては、「オブザーバビリティ」「ソフトウェア部品表」「コンフィデンシャルコンピューティング」「シャドウAPI」「多要素認証を回避するサイバー攻撃の増加」の5つのテーマが重要なカギを握ると考えています。
オブザーバビリティ:サービスを起点とした俯瞰的観測と自動対応
私たちの暮らしを支えるアプリケーションはマルチクラウド・エッジといった分散環境へ配備されるようになり、その実装形態もコンテナ・マイクロサービスを利用した複数の機能コンポーネントを疎結合することで1つのサービスを構成する形に変遷しています。常に快適にサービスをお客様にご利用いただくためにはサービス全体の健康状態を把握。異常値があればアラートを上げ人手を介さずに自動的に処置を実施する機能が望ましいと言えます。より快適なサービスへユーザはシフトするという過去データ(F5 Curve of Convenience)から、「オブザーバビリティ」を有効活用したサービスがますます重要になります。
ソフトウェア部品表:踏み台にされるソフトウェアライブラリー
ソフトウェアのアジャイル開発が進む中で、多くのアプリやサービスはオープンソースライブラリーや外部APIを使用して構築されています。一方で利用されている全てのライブラリー、APIを把握している組織は多くありません。攻撃者はアプリ内のライブラリーに注目し悪意のあるコードを挿入し内部に足掛かりを作成するなど、従来の境界防御であるファイアウォールやWAFでは防げないアプローチを取るようになってきました。サービスのゼロデイ対策を検討する中、ソフトウェアライブラリやAPIが正常な動作をしているのか、アプリ内部間通信を起点とした監視が今後ますます重要になってきます。
コンフィデンシャルコンピューティング:使用中データの暗号化
2023年度はエッジ、ウェブ3.0、メタバースなど、さまざまな新テクノロジーの更なる利活用が期待されています。特にメタバースはビジネス、小売り、ヘルスケアなど、次のフロンティアになると期待されているため、注目度が高いテクノロジーです。F5の調査では、既に10人に1人はメタバース上で活動しており、51%が5年以内にメタバースに移行すると予想しています。一方でセキュリティ懸念とデータプライバシーのリスクから新テクノロジー採用を見送っている企業もあります。データをどのように保護するのか?コンフィデンシャルコンピューティングは使用中のデータを保護することでセキュリティを強化する新しいテクノロジーです。企業がデータ処理ワークロードをメタバースやエッジに移行するにつれて、そのデータを保護するためにコンフィデンシャルコンピューティングをサポートする必要性が高まると予想されます。
シャドウAPI:予期せぬ侵害をもたらすシャドウAPI
APIは、爆発的に普及しつつあります。モバイルアプリの融合、組織間のデータ共有、増え続けるアプリケーションの自動化など、APIに特化した開発者ツール「Postman」を通じて2021年に11億3000万件のリクエストが行われるようになりました。しかし、今日、多くの組織が自社のAPIを正確に把握しておらず、それが「シャドウAPI」と呼ばれる新たな脅威のベクトルにつながっています。成熟したAPI開発プロセスが存在する組織は、APIインベントリーとして知られる資産目録を維持しており、そのインベントリーには通常、利用可能なすべてのAPIエンドポイントに関する情報、許容できるパラメーターの詳細、認証および認可情報などが含まれています。しかし、多くの組織にはAPIインベントリーが存在しない、または、理想的なインベントリーからはかけ離れたものしかないのが現状です。その結果、組織が可視化できないAPIが無防備な状態で存在してしまいます。これらのAPIはシャドウAPIと呼ばれ、組織がほとんど理解していない、あるいは意識していないAPIを介して、多くのアプリへ侵入されるリスクをはらんでいます。
多要素認証を回避するサイバー攻撃の増加
当社の公開したフィッシングと詐欺のレポートでは、攻撃者がリアルタイムのフィッシング・プロキシを使って多要素認証(MFA)システムを回避していることを示しました。2020年以降、セッションの再利用攻撃やMFAコードを盗むモバイルマルウェアなど、MFAを回避する技術が増加しています。特に、「MFAボミング」とも呼ばれる攻撃手法が増加しており、この手法は、あまりにも多くの認証要求を殺到させることで被害者を困らせ、被害者が偶然に、あるいはフラストレーションから通知要求を承認してしまうことを目的としています。従業員が攻撃の対象となることもあり、この種の攻撃は企業にとって直接的なリスクとなります。MFAなどの他のセキュリティ対策があるため、企業はしばしばパスワードの漏えいを見過ごしたり、必要なパスフレーズの種類を低く設定したりすることがあります。MFAに対応したフィッシングキットやMFAボミングの流行は、パスフレーズ、多重防衛、ゼロトラストアーキテクチャへの移行の重要性を改めて強調します。攻撃者は、タイポスクワッティング、アカウントテイクオーバー、MFAデバイススプーフィング、ソーシャルエンジニアリングなどのさまざまなテクニックを使ってMFAソリューションに適応しており、その結果、アプリケーションとネットワークの防御者は、次の対策を練らなければなりません。サイバーセキュリティの状況の多くは、防御者と攻撃者の間の軍拡競争であり、認証方式も例外ではありません。近い将来、FIDOアライアンスのパスキーソリューションは、ユーザの認証に使用される暗号鍵が訪問先のウェブサイトのアドレスに基づいているため、ソーシャルエンジニアリング攻撃を軽減する、おそらく最初の真に効果的な方法となることが期待されています。
インフレ率の高止まり、エネルギー価格の高騰、地政学リスクの高まりなど、私たちには依然として多くの課題が山積ではあるものの、2023年が皆様にとりまして、そして日本および世界にとりまして、より平和でより安定した成長を遂げる実り多き1年となりますことを心から祈念申し上げます。
F5は引き続き、世界中のお客様の生活の向上に貢献するパートナとして、進化を続けてまいります。
