技術の発展に伴い、サイバーセキュリティ業界が直面する課題や機会も変わりつつあります。グローバルなサイバーセキュリティ企業として、私たちは常に、地域ごとに重点を置くべき分野を特定するよう努めています。そこで本稿では、アジア太平洋地域においてその兆候が見えてきた、主要サイバーセキュリティ上の課題を5つ、予測として取り上げて紹介します。
今日4Gで起きている問題は、5Gにも引き継がれる
まだ広く採用されているわけではありませんが、オーストラリア、シンガポール、韓国で早期の5Gトライアルサービスが開始され始めています。例えばシンガポールの場合、クラウドゲーム、自動運転車、テクノロジを援用した不動産サービスであるスマート エステート、飲食料品業界などでの実験を開始しました。うまく展開できれば、5Gネットワークはいっそうの自律化を促す可能性を秘めており、輸送やサプライチェーンから製造まで、経済全体に高度な影響を与えることになります。
しかし、5Gの展開を検討する以前に、今日の4Gネットワークが、スパム、盗聴、マルウェア、IPスプーフィング、データ/サービス窃取、DDoS攻撃などの多くの攻撃を含む無数の攻撃態勢に依然として脆弱である点について、私たちは考えるべきでしょう。
予測1: 4Gはアジア太平洋地域の大多数にとって今後も優先課題でありつづける
5Gは4Gネットワークと歩みをあわせて進化し続けるでしょう。しかし5G時代はまだ完全ではありません。アジア太平洋諸国のなかにはようやく4Gが展開されたばかりの国もありますから、5Gネットワークが本格化するにはまだ時間がかかることでしょう。GSMアソシエーション(移動体通信事業者・関連企業からなる業界団体)の予測では、アジア太平洋地域では2025年まで、4Gがモバイルユーザー全体の68%を引き続き占めるとされています。単純に5Gのミリ波と比較して4Gのとどく範囲が広いことから、郊外の多くではLTEモデルで引き続き運用される可能性があります。
既存のセキュリティリスクに対処せず、対応を後回しにしてしまった場合、モバイルISPがサイバー攻撃における最初の障害ポイントとなるでしょう。そして、4Gで対処しておかなければ、セキュリティで保護されていないIoTシステムなどの脆弱性は、5Gで指数関数的に増幅される可能性があります。このため現在は新しいサイバーセキュリティへのアプローチが求められています。たとえば、予防的なアプローチを採用すること、セキュリティの自動化レベルを引き上げること、コンテキストに重きをおいてセキュリティ対策を確立すること、セキュリティ機能とAPIとを統合することなどです。私たちは、今後数年にわたり、5Gネットワークへの潜在的な侵入口として、4Gは攻撃者たちに狙われ続けるだろうと予測しています。
自在不足想定と異なる人材不足
世界的にサイバーセキュリティ人材が不足していること、求められるスキルと実際のスキルとの間に深刻なギャップが存在することについては多くのことが言われています。(ISC)²2018年サイバーセキュリティ労働力調査の最新の調査によれば、アジア太平洋地域における現在の人材不足は214万人とされており、この地域はもっとも人材不足の影響を強く受けていることになっています。
予測2: 好奇心が強く、問題解決型の人材が求められる
考えかたが根本的に変わらないかぎり、サイバーセキュリティの需要は常に供給を上回ることでしょう。この課題に対処するには2つの相補的アプローチが必要です。つまり、自動化を進めること、人材をほかから探せないか探ることです。
自動化は今後のサイバーセキュリティでのキーとなるでしょう。なにもかもを人手でやることを前提としてはいけませんし、その必要もありません。そのかわりに、自動化できない一連のスキルをより高レベルのタスクに集中して投入すべきでしょう。たとえば、問題を解決したり、コミュニケーションをとったり、共同作業を行うなどのタスクがそうした高レベルのタスクにあたります。そのためには、今日のセキュリティオペレーションセンター(SOC)の構造から再検討すべきですし、構造の変化に応じて生じた新しい役割にはどんな種類の専門家が必要となるのかも見極めなければなりません。そうすれば、一部のスキルのギャップは正確に特定して埋めていくことができるでしょう。企業や採用担当者は、現実に存在しないような完璧な人材を探すのではなく、適切な場所で才能のある人々を掘り出すべきでしょう。
探しているのがエンジニア、アナリスト、コミュニケーションスペシャリストのいずれであっても、2020年には、IQよりEQの評価が高くなり、好奇心が高く、問題解決スキルを持つ人々を見つけることが期待されています。これまで見すごされていた人材のスキルアップや異なる分野でのスキル成長に投資し、有能な個人が必要とされる才能を持てるよう育てていく必要があります。
IoTの活用がすべてのひとの地雷原に
IDCによれば、アジア太平洋地域は2019年には世界のIoT支出を牽引するリーダーとなり、その世界支出に占める割合は約36.9%と予測されています。ところがセキュリティはいまだに製品開発で後から付け足されている状況です。コネクテッドデバイスのなかには、ソフトウェア更新プログラムやセキュリティパッチなどを受け取るための適切な手段をもたぬまま出荷され続けているものもあり、これが容易に悪用できる脆弱性の存在につながっています。2020年にはIoTセキュリティへの潜在的脅威の増加によりこの問題はさらに悪化することでしょう。
予測3: IoTドアベルは予定外の訪問者を迎え入れてしまいかねない
2020年には、IoTセキュリティの進化が2つの重要分野、すなわち「パーソナルIoT」と「インダストリアルIoT」で見られるようになるでしょう。たとえばコネクテッド ドアベルのカメラからワイヤレス スピーカー システムに至るまで、セキュリティで保護されていないアプリや弱いログイン資格情報を通じた攻撃態勢の増加が見られます。このIoTへの脅威はディープフェイク テクノロジが手軽に利用できるようになることでいっそう複雑化し、音声や生体認証で制御するコネクテッド デバイスにとっての脅威となる可能性があります。かつては最も強力とされていた生物学的識別子を模倣することでコネクテッド システムにアクセス・制御できるようになった場合、パーソナルの範疇を超え、企業環境にまで影響を与えることになります。
企業という観点で、こうした大きな変化にもっとも影響を受けると予想されるセクターの1つが、アジア経済の支柱となっている製造業です。製造業では、データ収集・分析による生産、物流、従業員管理の合理化手段として、センサーやウェアラブル デバイス、オートメーション システムを展開しようとしています。そのため組織では、これらコネクテッド デバイスに組み込みの診断機能、継続的脆弱性スキャン機能、高度な分析機能などの自動化機能を自身が活用できることを確認しておき、それによって常に脅威に先んじる必要があります。
コネクテッド デバイスは改良や更新を継続的に行うことでセキュリティを保つ必要があります。アジア太平洋地域を含め、世界中の政府がIoTデバイスのセキュリティに関連したガイドラインや規制を施行する傾向が強まっていますし、業界の標準化団体により、ISO/IEC 27037標準のドラフトをはじめとするIoTデバイス関連セキュリティ標準開発の取り組みもはじまっています。こうしたコネクテッド デバイスの急伸、採用をうけ、一般利用者への啓蒙活動も優先的に行っていくことが期待されています。
データ プライバシーの境界線はますます曖昧に
アジア太平洋地域のポリシー問題に関してインターネット協会が実施した2018年の調査からは、回答者の70%以上が「個人情報の収集・利用に関してはもっと自分自身で管理したい」と考えていることがわかりました。それにもかかわらず、ほとんどの人は深く考えることもなく流行りのアプリやモバイルゲーム、オンライン コンテストなど目先の利益のために個人情報を差し出してしまっています。こうしたふるまいは、ある新興市場ではサイバー衛生意識の低さによって、またシンガポールなどべつの市場では自己満足によって助長されています。
大きくなる一方のこうした問題に対応して市民のデータを保護するため、より厳格な地域のデータプライバシー法実装をめぐる規制への機運が高まっています。タイをはじめとするいくつかの国では、データ保護の管理のために新しい法案を可決し、企業が収集したデータとその共有・使用方法に注意を払うよう圧力をかけています。最近更新された日本のデータプライバシー法など、取り組みのなかには欧州連合(EU)のGDPRへの準拠がその原動力となったものも見られますが、企業としては、そうした法案にはさまざまな成熟度があり、地域ごとにニュアンスが異なる、という点に注意しておくことが重要です。
予測4: データプライバシー法が増え、データ主権関連のセキュリティ上の矛盾も増える
アジア太平洋地域では今後も追加のデータプライバシー法が施行される見込みです。たとえばインドネシアやインドがここ数年個人データ保護法案に取り組んでいます。ただしこうした個人データ保護法案が確定するかどうか、そしてどういったタイミングで確定するのかについては明らかになっていません。また、アジア太平洋地域では、データをその出自となる国にとどめるよう要求する規制案も増えています。こうした規制案は、プライバシーやセキュリティ上の懸念がその背景となっている傾向があります。インドネシア政府規制2019年第71号の最新ドラフトでは、公共機関はインドネシア内でデータを管理・処理・保存することが義務付けられています(非公式の翻訳による)。今後も特に公共セクター関連の情報について、データの国境をまたぐ移動を規制・制限する規制案が増えていくものと予想されます。これを受け、企業は地元に構築するデータセンターを増やし、その地域の顧客サポートを改善していくことになると予想されます。
ただし、ローカルなデータセンターを増やしたからといって、それだけデータの安全性が向上するわけではない点には注意が必要でしょう。サイバー脅威に国境はありませんから、個々のエンドユーザーや企業は、接続の度合いが高まるほどに、グローバルなインシデントに対して脆弱になっていきます。これを企業で効果的に管理していくには、収集した情報の価値を定期的に評価し、アクセスを制御する必要があります。
私たちは「企業はアジア太平洋地域のような高度に相互接続された地域でのデータフローにさらに注意を払う必要がある」と予測しています。自主的なCBPR(APEC越境プライバシールール)をはじめとし、個人データ保護のための地域協調アプローチ作成にむけた努力は続けられていますが、まだ完全な協調は得られていません。地域にとって最適なフレームワークを作成するには、官民で緊密に協力し、絶え間なくたち現れる脅威に対し、侵害をどのように識別し、定義するのかを評価していかなくてはいけません。
私たちはすでにクラウドの未来を生きている 乱気流に惑わされてはいけない
アジア太平洋地域全体で見ると、クラウドの採用に対する姿勢や度合いはじつに複雑です。この複雑さにさらに拍車をかけるのが、「仮想」対「物理」のメリットにまつわる誤解がいぜん残っていることです。
ただし、さまざまなことを勘案しても、クラウドの採用予報は今後も「快晴」といえるでしょう。つまるところアジア在住のCIOにとってクラウドの旅とは、企業を成熟させ、自社のDX(デジタルトランスフォーメーション)戦略にとってクラウド移行が何を意味するのかを明確に理解するという点に集約されるのです。ASEAN各国の政府がこの変革に向けて、その小さな一歩を踏み出す様子も目にするようになりました。シンガポール、タイ、マレーシアなどの政府機関はみな、パブリッククラウドセクターでのベンチャーを公表しており、なかでもインドネシアは、アジアにおける次の大規模データセンターハブになることが予想されています。
予測5: クラウドセキュリティでは設定での混乱が目立つ
パロアルトネットワークスが市場調査会社Ovumに委託して作成した「アジア太平洋地域におけるクラウドセキュリティ研究」では「大企業の80%がセキュリティとプライバシーをクラウド導入上の主要課題と見なしている」ことがわかりました。
主な調査結果は次のとおりです。
- アジア太平洋地域の大規模組織の70%はクラウドセキュリティに対する誤った信頼を抱いており「クラウドプロバイダの提供するセキュリティだけで十分」と考えている
- アジア太平洋地域の大規模組織は多数のセキュリティ対策製品を導入しており、これがセキュリティ体制の断片化につながっている。とくに企業がマルチクラウド環境で運用している場合、クラウドのセキュリティの管理はますます複雑化している
- 大規模組織にはクラウドセキュリティの監査やトレーニングのためだけに割く時間もリソースもない。このため、自動化が必要とされている
多くの企業は、セキュリティプロセスと対策製品を両方新製品の開発ライフサイクルに統合するDevSecOpsアプローチに移行しつつあります。このアプローチは、クラウドとコンテナをうまく統合するための方法となるでしょう。
本稿は「昨日より安心・安全な今日をつくる」という弊社のミッションにあわせて起稿されたものです。サイバーセキュリティとポリシーに関するソートリーダーたちの視点もぜひあわせて御一読ください。