新型コロナウイルス感染症がサイバーセキュリティを変える--RSA Security

渡邉利和

2021-01-28 11:30

 RSA Security Japanは1月27日、サイバーセキュリティの側面から2021年を展望した報道機関向けのオンライン説明会を開催した。マーケティング部 部長の水村明博氏はまず、同社がグローバルで発表した「2021年を占う21の予測」を紹介した。

  1. デジタルトランスフォーメーション(DX)の強化
  2. IDガバナンスの重要性が高まる
  3. サイバー犯罪者が従業員のテレワーク環境を悪用
  4. ゼロトラストへの移行
  5. DDoS攻撃が激化
  6. 若年ユーザーの脆弱性と合成ID
  7. テレワークの普及で高まるリスク
  8. ヘルスケア業界も危ない
  9. XDRの台頭
  10. サイバーセキュリティの統合
  11. SOCにおけるオートメーションとAI
  12. 弱者が犠牲に
  13. 詐欺防止にAI/機械学習が活躍
  14. 3Dセキュア 2.x:CNP詐欺へ効果大
  15. QRコードとBOPIS詐欺が急増
  16. いつの間にかマイレージやカードポイントがなくなっている!
  17. 統合型リスク管理
  18. 規制をめぐる環境は複雑なまま
  19. データ規制と罰則の強化
  20. 違反に対する説明責任
  21. AI規制:EUに注目

 さらに同氏は、この21の予測を踏まえた上で「新型コロナウイルス感染症(COVID-19)が変えるサイバーセキュリティ」として、(1)CISOがセキュリティポリシーの再構築を迫られる、(2)サイバー攻撃者の対象は変わってゆく、(3)ワクチンに対するデマ情報が人々の懸念を拡大する――の3点を挙げた。さらにこの3点と先の21の予測の関連についても明示した(下図参照)。

新型コロナウイルス感染症(COVID-19)が変えるサイバーセキュリティ
新型コロナウイルス感染症(COVID-19)が変えるサイバーセキュリティ

 「CISOがセキュリティポリシーの再構築を迫られる」については、COVID-19の感染状況が一段落した後に「テレワークを止めてオフィスに戻る動きが起こる」ことが予想されており、その際にはテレワーク期間中に防御の弱い自宅/リモートオフィスなどでマルウェア感染を起こしたPCが社内ネットワークのファイアウォールの内側に持ち込まれるリスクがあると指摘された。

 またテレワークも残ると予想されることからテレワーク環境の保護についても考える必要がある。これに関して、米国で関心が高まっている「ゼロトラストアーキテクチャー」について検討する日本企業も増えると見られる。なお、ゼロトラストに関しては、「『何も信頼しない』のは難しいが、信頼する要素を減らしていく取り組みが必要」とも指摘された。

 さらに、同社が考える「ゼロトラスト(Never Trust, Always Verify)3つの原則」として、「全てのリソースから、場所を問うことなく、セキュアにアクセスできること」「アクセスコントロール(アクセス制御)を徹底し、“知る必要がある人”にしか情報を知らせないこと」「全てのトラフィックログを取得しておき、組織内の資産全体の状況を把握しておくこと」が紹介された上で、同社のソリューションの関連も示された。

ゼロトラスト(Never Trust, Alway Verify:何も信頼せず、常に検証を行う)3つの原則
ゼロトラスト(Never Trust, Alway Verify:何も信頼せず、常に検証を行う)3つの原則

 「サイバー攻撃者の対象は変わってゆく」については、SaaSアプリケーションやクラウドサービスがまず攻撃され、ここでIDに対応するパスワードを総当たり攻撃やフィッシングなどで搾取した上で、業務関連のシステムなどにユーザーになりすまして侵入するなどの「2ステップの攻撃」が増加すると予測されるという。

 また、「QRコードとBOPIS詐欺の増加が懸念される」との指摘もあった。QRコードに関しては、QRコードに不正なコードを埋め込む機能を実装したQRコード作成ツールが出回っているのが発見されているといい、今後こうしたツールを使った攻撃が起こることが懸念される。また、BOPIS(Buy Online, Pick-up In Store:オンラインで購入し、店舗で受け取る)詐欺は、商品の引き渡し時に厳密な本人確認を行わないサービスが攻撃対象になり、サイバー犯罪者による詐取が可能になる危険が指摘されている。

 「ワクチンに対するデマ情報が人々の懸念を拡大する」については、「人々に安心を与える材料に乗じる方がだまされやすい」(水村氏)ことから、さまざまな情報発信チャネルを狙ってくると思われるという。今後、「闇ワクチン」や「偽ワクチン」といったリスクが高まる可能性がある。なお、日本の医療機関に関しては、ITシステムやセキュリティ対応をコンサルタントやSI(システムインテグレーション)事業者に任せてしまっている傾向があり、当事者意識が薄い点がリスク要因として懸念されるとの指摘もあった。

 2020年に関してはやはり新型コロナウイルス感染症(COVID-19)の流行が最大の出来事といえ、2021年に関してもその影響が継続する一方、COVID-19で変化を余儀なくされた働き方や日常生活の過ごし方が新たなサイバーリスクに直面し、インフラをどう守っていくかの考え方も変化を迫られる、ということになる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法

  2. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  3. セキュリティ

    「iPhone」の業務活用を促進!セキュリティ対策で必ず押さえておきたいポイントとは?

  4. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  5. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]