サイバーセキュリティのリスクを常に把握しておくことは、継続的な課題だ。フィッシング、マルウェア、ランサムウェアなどの脅威は絶えず進化し、環境に適応しており、サイバー犯罪者は、悪意あるハッキングキャンペーンの実行、コンピューターシステムへの侵入と常駐のための画期的な手段を次々に発見している。
多くの企業はそうした変化の速さについて行くのが難しく、ネットワークのセキュリティホールや脆弱性が修正されないままになっている。これらの脆弱性は、サイバーセキュリティの比較的管理しやすい要素だが、まだ対処を試みている段階の組織が多い。
さらに悪いことに、サイバーセキュリティとサイバーセキュリティ脅威が進化を続けていくと、技術の進歩とそれに伴うサイバー脅威の進歩に多くの企業が取り残され、危険にさらされるリスクがある。
量子の脅威
量子コンピューティングは勢いを増しており、大手テクノロジー企業は高性能量子コンピューティングハードウェアを数年以内に提供する計画を立てている。量子コンピューティングの力は、複数の点で社会に利益をもたらす可能性があり、特に期待が大きいのが、科学、研究、アルゴリズムの分析、人工知能と機械学習の改善といった分野だ。
しかし、量子コンピューティングの発展によって、われわれが知る従来のサイバーセキュリティと暗号化が脅かされるというリスクがある。なぜなら、量子コンピューターは公開鍵暗号を破る可能性があるからだ。米政府は、これがビジネスと国家安全保障の脅威になり得ると警告した。
現在のところ、データの保護に使用される暗号化は十分に強力で、少なくとも従来のコンピューターからデータを保護できるだけの強度はある。問題は、量子コンピューティングが実現したときに、数十年前の暗号化プロトコルが高性能な量子マシンによって破られる可能性があることだ。
国家の支援を受けたハッカー集団が量子コンピューティングを悪用して、サイバースパイ活動の実行(あるいは過去に盗んだ暗号化データの復号化)を試みることも想像に難くない。また、サイバー犯罪集団が量子技術の悪用を検討し、金銭目的のサイバー攻撃の効率化を図ることも考えられる。
その脅威は、量子コンピューティングを使用してパスワードなどのサイバーセキュリティ対策を突破し、ネットワークに侵入してランサムウェアや他のマルウェアをインストールするという形をとる可能性がある。あるいは、量子で強化した暗号化を展開し、ランサムウェア攻撃の一環としてファイルを暗号化するかもしれない。この暗号化は従来のコンピューターによる解読や復元が不可能であるため、被害者は復号鍵と引き換えに身代金を支払うしかないだろう。
テクノロジー企業は、量子対応のサイバーセキュリティの開発に取り組んでいる。多くの政府、企業、その他の組織が、今後数年でこの技術について考えなければならなくなるはずだ。
ソフトウェアサプライチェーン攻撃
大手ソフトウェアサプライヤーへのサイバー攻撃によって生じる混乱の大きさは、すでに全世界の人々が目の当たりにしている。SolarWindsへの攻撃では、ハッカーがソフトウェア構築プロセスに侵入し、正規のソフトウェアアップデートをマルウェアに感染させた。後に、この攻撃にはロシア対外情報庁(SVR)が関与していたことが明らかになった。
残念ながら、この攻撃は将来起きることの始まりにすぎないだろう。何と言っても、SaaSやクラウドベースのテクノロジーソリューションに移行する組織が増加し続けているからだ。
サイバー攻撃に対する自社ネットワークのレジリエンスを可能な限り高めたとしても、サプライヤーの1社のネットワークがハッカーに侵害されたら、自社のネットワークに簡単に侵入されてしまう。
「セキュリティバイデザイン」などの概念によって、あらゆる人のサイバーセキュリティが向上する可能性はあるが、ITとサイバーセキュリティの予算はすでに難題に直面しており、ソフトウェア会社がサイバー犯罪者の魅力的な標的になっているため、ソフトウェアサプライチェーン攻撃が近い将来に廃れるとは考えにくい。
IoTによるセキュリティの弱体化
さまざまな業界が、モノのインターネット(Internet of Things:IoT)接続デバイスの展開を拡大させている。大規模工場はIoTデバイスを生産ラインに接続して損傷を監視し、病院では患者の治療や観察にウェアラブルテクノロジーが使用され、家庭ではスマートメーターやその他のスマートデバイスの使用が増えており、ネットワークに接続されるIoT製品は増加する一方だ。