各社が出した2023年のセキュリティ予測 筆者が気になるトピックは？：半径300メートルのIT

新たな年が始まり、セキュリティ企業各社が2023年のセキュリティ予測を発表しています。今回はその中でも個人的に気になるトピックを幾つかピックアップしました。

[宮田健，ITmedia]

　2023年がスタートし、多くのセキュリティ組織から本年を予測するレポートが公開されています。どのレポートも示唆に富んでいるため、項目だけでも目を通しておくといいかもしれません。

　ざっくりと筆者がチェックした中では、2023年にサイバー攻撃が減少するという予測を立てているものはありませんでした。新たな技術が発展すれば、そこからサイバー攻撃もまた生まれます。今後は常にアンテナを張りつつ、新たな脅威に対応する、または攻撃を受けても立ち直れる「復元力」が重要になるでしょう。

　今回は、各社が公開したレポートの中でも個人的に幾つか気になった項目を取り上げつつ、2023年の新たなセキュリティ対策について考えてみましょう。

“サイバー保険”について考えるべきときが来た？

　1つ目は、(ISC)2が発表した「アジア太平洋地域における2023年のサイバーセキュリティ業界の予測」です。2023年の予測としては、下記の項目がピックアップされ、今後直面するであろう苦難に備えるための指針としています。

• サイバー保険の需要が高まっていく一方で、加入はより困難に
• 量子技術の実用化は目前で、2023年には対応することが課題
• ワイパー型マルウェア攻撃が増加
• 産業界はOTインフラセキュリティの重要性を過小評価し続ける
• 不況により研修プログラムへの支出が減少

　この中で気になるのは「サイバー保険」です。同レポートはサイバー保険の重要性を述べつつ、保険業社からの視点で課題が記されています。

　レポートによれば、「保険業者もサイバー保険への加入の要件をより厳格化」しており、これまで加入要件として質問票が2ページだったものが、現在は全面監査を目的とし12ページもの文章になっています。今後はサイバー保険に加入するにも、保険料が高騰して加入要件がより厳格化することが、組織にとって障害になり得るようです。

　日本においても保険会社が各種サイバー保険を提供しています。数年前に筆者も話を聞いたのですが、支払われる補償最高額を華々しく吹聴していたと思ったら、その注意書きの一つに「指定するセキュリティ会社が該当攻撃をゼロデイと判断した場合」という条件があってうなってしまいました。

　サイバー攻撃において、重要インフラでもない限りゼロデイ脆弱（ぜいじゃく）性を使用するのは珍しいでしょう。基本的には、添付ファイルとして入り込んだマルウェアを実行してしまったり、既知のVPN脆弱（ぜいじゃく）性を悪用したり、ID／パスワードが漏れていたり推測可能だったりといったケースがほとんどだと言えます。そうなると、せっかくサイバー保険に入ったのにほとんど有用ではなかった、ということも十分あり得ます。もし既にサイバー保険に入っている方がいれば、一度条件を見直す必要があるかもしれません。

エンジニアを悩ます“あの問題”を忘れていませんか？

　もう一つ気になったのは、ウィズセキュア（旧F-Secure）の予測です。こちらは下記の項目がピックアップされています。こちらも未来予測らしく、非常に説得力のある文言が並んでいます。

• 自然言語生成モデルがサイバー攻撃者に利用される
• セキュリティ侵害を通じて、機械学習モデルを盗み出そうという試みが増える
• クラウドに特化した攻撃が主流に
• データ処理に必要な電力は、サステナビリティの枠において象のような存在となる
• 2038年問題は思っているより早くやって来るため、今から準備が必要
• マルウェアによる攻撃キャンペーンは、人間のスピードから機械のスピードへと移行する

　個人的には、今話題の「ChatGPT」がサイバー攻撃に利用されるのではないかと予想していましたが、その点に関してもカバーされています（ちなみにChatGPTの悪用についてはCheck Point Researchが攻撃手法をブログにまとめています）。

　これらの中ではAI（人工知能）に関連する予測も興味深いのですが、差し迫ったものとしては、やはり「2038年問題」というキーワードは見過ごせません。

　2038年問題とは、プログラム内で利用される時刻が「1970年1月1日0時0分0秒からの経過秒数」で管理されていることに起因し、32bit整数型の上限である2,147,483,647秒（2^31-1）経過すると、正しく時刻を取り扱えない可能性があるというもので、その時刻が2038年1月19日3時14分7秒（日本標準時では2038年1月19日12時14分7秒）となります。

　2038年問題は一般的には理解しにくく、組織内で協力を得るのは非常に大変かもしれません。2038年になるまではまだまだ時間があるように思えますが、業務における契約期間や有効期間が2038年にかかる場合、やはり同様の問題を引き起こすこともあるでしょう。

　ベテランエンジニアにとっては「Y2K」の対処を思い出すかもしれません。2000年問題の際には多くのエンジニアが対処に追われましたが、大きなインシデントがなく乗り越えられました。2038年問題は影響範囲が見えにくいながら、事業継続の観点では無視できない問題です。コンピュータの世界では2038年問題以外にも「○○年問題」というのははたくさんあります。これらも頭の片隅に置いておいてください。

的中してほしくないけれど……

　その他にも、ウィズセキュアのミッコ・ヒッポネン研究員は「マルウェアによる攻撃キャンペーンは、人間のスピードから機械のスピードへと移行する」という予測を立てています。かつてマルウェア開発者が大量の亜種を作成、拡散したことで、Symantecの幹部による「ウイルス対策ソフトは死んだ」発言につながりました。今後、サイバー攻撃者はさらなる新技術を取り込み、もう1段階、戦いのステージが上げる可能性があります。

　インターネットにつながる以上、この戦いから逃れることはできないでしょう。その場にとどまるためには、全力で走り続けなければなりません。普段はライバルの同業他社同士でも、セキュリティの意味ではともに手を取って走っていけるようにしましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。