RSA Security Japanは1月27日、サイバーセキュリティの側面から2021年を展望した報道機関向けのオンライン説明会を開催した。マーケティング部 部長の水村明博氏はまず、同社がグローバルで発表した「2021年を占う21の予測」を紹介した。
- デジタルトランスフォーメーション(DX)の強化
- IDガバナンスの重要性が高まる
- サイバー犯罪者が従業員のテレワーク環境を悪用
- ゼロトラストへの移行
- DDoS攻撃が激化
- 若年ユーザーの脆弱性と合成ID
- テレワークの普及で高まるリスク
- ヘルスケア業界も危ない
- XDRの台頭
- サイバーセキュリティの統合
- SOCにおけるオートメーションとAI
- 弱者が犠牲に
- 詐欺防止にAI/機械学習が活躍
- 3Dセキュア 2.x:CNP詐欺へ効果大
- QRコードとBOPIS詐欺が急増
- いつの間にかマイレージやカードポイントがなくなっている!
- 統合型リスク管理
- 規制をめぐる環境は複雑なまま
- データ規制と罰則の強化
- 違反に対する説明責任
- AI規制:EUに注目
さらに同氏は、この21の予測を踏まえた上で「新型コロナウイルス感染症(COVID-19)が変えるサイバーセキュリティ」として、(1)CISOがセキュリティポリシーの再構築を迫られる、(2)サイバー攻撃者の対象は変わってゆく、(3)ワクチンに対するデマ情報が人々の懸念を拡大する――の3点を挙げた。さらにこの3点と先の21の予測の関連についても明示した(下図参照)。
新型コロナウイルス感染症(COVID-19)が変えるサイバーセキュリティ
「CISOがセキュリティポリシーの再構築を迫られる」については、COVID-19の感染状況が一段落した後に「テレワークを止めてオフィスに戻る動きが起こる」ことが予想されており、その際にはテレワーク期間中に防御の弱い自宅/リモートオフィスなどでマルウェア感染を起こしたPCが社内ネットワークのファイアウォールの内側に持ち込まれるリスクがあると指摘された。
またテレワークも残ると予想されることからテレワーク環境の保護についても考える必要がある。これに関して、米国で関心が高まっている「ゼロトラストアーキテクチャー」について検討する日本企業も増えると見られる。なお、ゼロトラストに関しては、「『何も信頼しない』のは難しいが、信頼する要素を減らしていく取り組みが必要」とも指摘された。
さらに、同社が考える「ゼロトラスト(Never Trust, Always Verify)3つの原則」として、「全てのリソースから、場所を問うことなく、セキュアにアクセスできること」「アクセスコントロール(アクセス制御)を徹底し、“知る必要がある人”にしか情報を知らせないこと」「全てのトラフィックログを取得しておき、組織内の資産全体の状況を把握しておくこと」が紹介された上で、同社のソリューションの関連も示された。
ゼロトラスト(Never Trust, Alway Verify:何も信頼せず、常に検証を行う)3つの原則
「サイバー攻撃者の対象は変わってゆく」については、SaaSアプリケーションやクラウドサービスがまず攻撃され、ここでIDに対応するパスワードを総当たり攻撃やフィッシングなどで搾取した上で、業務関連のシステムなどにユーザーになりすまして侵入するなどの「2ステップの攻撃」が増加すると予測されるという。
また、「QRコードとBOPIS詐欺の増加が懸念される」との指摘もあった。QRコードに関しては、QRコードに不正なコードを埋め込む機能を実装したQRコード作成ツールが出回っているのが発見されているといい、今後こうしたツールを使った攻撃が起こることが懸念される。また、BOPIS(Buy Online, Pick-up In Store:オンラインで購入し、店舗で受け取る)詐欺は、商品の引き渡し時に厳密な本人確認を行わないサービスが攻撃対象になり、サイバー犯罪者による詐取が可能になる危険が指摘されている。
「ワクチンに対するデマ情報が人々の懸念を拡大する」については、「人々に安心を与える材料に乗じる方がだまされやすい」(水村氏)ことから、さまざまな情報発信チャネルを狙ってくると思われるという。今後、「闇ワクチン」や「偽ワクチン」といったリスクが高まる可能性がある。なお、日本の医療機関に関しては、ITシステムやセキュリティ対応をコンサルタントやSI(システムインテグレーション)事業者に任せてしまっている傾向があり、当事者意識が薄い点がリスク要因として懸念されるとの指摘もあった。
2020年に関してはやはり新型コロナウイルス感染症(COVID-19)の流行が最大の出来事といえ、2021年に関してもその影響が継続する一方、COVID-19で変化を余儀なくされた働き方や日常生活の過ごし方が新たなサイバーリスクに直面し、インフラをどう守っていくかの考え方も変化を迫られる、ということになる。