米国の専門家たちが2024年に注目する「5つのサイバーセキュリティトレンド」：Cybersecurity Dive（1/2 ページ）

ランサムウェアの脅威はかつてないほど深刻で、予防策は依然として不十分であり、新たなインシデント報告とコンプライアンス規制の波が押し寄せている。専門家たちが2024年に注目する5つのセキュリティトレンドとは。

[David Jones & Matt Kapko，Cybersecurity Dive]

　2023年にサイバーセキュリティ専門家の頭の中を支配していたトレンドは、2024年も継続し、情勢は変わり続けるだろう。

　長年の懸案であった予防策は依然として不十分であり、ランサムウェアの脅威はかつてないほど深刻で、新たなインシデント報告とコンプライアンス規制の波が押し寄せている。

5つのサイバーセキュリティトレンド

　以下で2024年に向けて「Cybersecurity Dive」が考える5つのトレンドを紹介する。

1．予防はセキュリティの最良の薬である

　製品の安全性を高める最良の方法の一つは設計段階でリスクを排除することだ。

　IT業界は、新しいアプリケーションの初期段階にセキュリティを組み込む意欲を示し、開発段階における単純な変更を受け入れ始めている。

　安全なソフトウェアを開発するための最も基本的な要素は、コードの安全性の確保だ。多くのアプリケーションは「C」や「C++」を使って開発されてきた。これらのプログラミング言語は何十年も前から存在し、動作のスピードを重視して設計されている。

　しかし、これらはメモリ安全性に関するリスクも高いと考えられている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると、ソフトウェア脆弱（ぜいじゃく）性の3分の2は、メモリ安全性の問題に関連しているという（注1）。

　ホワイトハウスは2023年8月に、オープンソースソフトウェアのセキュリティとメモリ安全性に関する情報提供を要請した（注2）。同年12月にはCISAや米国連邦捜査局（FBI）、海外の主要パートナー機関が連携し、脆弱性を低減する方法として、メモリ安全性の高いプログラミング言語の使用をメーカーが受け入れるためのロードマップを発表した（注3）。

　オープンソースコミュニティーもまた、開発段階でのセキュリティを強化するための取り組みを進めている。

　ソフトウェア開発プラットフォームであるGitHubのエリック・トゥーリー氏（シニア・プロダクトマーケティング・マネジャー）は「オープンソースコミュニティーにおいても、企業顧客においても、修復だけでなく予防に重点を置くようになったことが最大の変化だ」と述べた。

　GitHubは「Dependabot」のようなツールを提供し、開発者が古く脆弱な依存関係をソフトウェアから排除できるよう支援している（注4）。2023年には、2022年と比較して、開発者は脆弱なパッケージのために60％以上のDependabot自動プルリクエストを引き出した。

　2023年11月、GitHubはAI（人工知能）ベースのコードスキャン自動修正機能を発表し（注5）、開発者はコードに秘密情報や脆弱性が侵入するのを防げるようになった。

2．ランサムウェア攻撃は、見返りの大きい標的を狙う

　2023年には認知度の高い大規模な標的に対するランサムウェア攻撃が多発し、運用面に目に見える影響をもたらした。

　複数の不動産企業に対する攻撃は決算を混乱させ、Cloroxは攻撃後の注文処理の遅延と製品不足による財務上の損失を報告する見込みである（注6）。米国ラスベガスで2番目と3番目に大きなカジノ運営企業であるMGM ResortsとCaesars Entertainmentは（注7）（注8）、ランサムウェア攻撃による財務上の損失を被り、事業運営にも影響があった。

　ITサービスを提供するKyndrylで、セキュリティと耐久性に関する業務を担当するクリス・ラブジョイ氏（グローバル・プラクティスリーダー）は「ハッカーは組織に最も痛手を与えるものを標的にする」と話した。

　サイバーセキュリティの専門家たちは2024年においても、ランサムウェアグループが引き続き価値の高い標的を狙い、深刻な運用面での混乱を回避するために身代金を支払う可能性が高い組織を標的にすると予想している。

　サイバーセキュリティ事業を営むReliaquestのリック・ホランド氏（バイスプレジデント兼CISO《最高情報セキュリティ責任者》）は「恐喝による攻撃には利点がある。大企業は中小企業よりも多額の身代金を支払う可能性がある。犯罪者は小規模な活動で高額の身代金を狙える」と指摘した。

　調査企業であるForresterのアリー・メレン氏（主席アナリスト）によると、認知度の高い標的への攻撃は、大企業のセキュリティリーダーが既に知っている内容の検証と継続で対処できるという。

　「適切なバックアップから予防や検出、対応までを含めて、可能な限り多くのランサムウェア攻撃とその後のビジネスの混乱に対処できるように準備を整える必要がある」（メレン氏）

　コンサルティング企業EY Americaにおいて、サイバーセキュリティリーダーを務めるデイブ・バーグ氏によると、価値の高い標的の定義は、ソフトウェアベンダーやサードパーティーサービスプロバイダーも含む形で進化しているという。

　「ヘルプデスクサービスをアウトソーシングしている小規模なプロバイダーは、セキュリティのための予算をあまり持っていないはずだ。プロバイダーの顧客が世界有数の大企業である場合、彼らは標的になるだろう」（バーグ氏）

3．より多くの事件報告とコンプライアンスが待たれる

　連邦機関やさまざまな州当局は、企業や重要インフラプロバイダーに対し、悪意のある脅威活動の拡大を防ぐために情報を共有し、インシデントを報告するように新たな圧力をかけている。

　SolarWindsやColonial Pipelineを狙った攻撃に関する調査が進む中、連邦当局は、データが盗まれたり重要な業務が中断されたりする前に、組織が脅威活動に適切に備えられるように、データ侵害や攻撃に関するインテリジェンスを共有し、情報を収集する取り組みを開始した。

　法律の専門家によると、政府当局が脅威と経営層レベルの準備の迅速で正確かつ完全な開示を奨励しようとしているため、企業は今後1年間に連邦および州レベルでの規制監視が強化されると予想しているという。

　2023年には既に企業報告義務に大きな変化が生じている。米国証券取引委員会（SEC）は現在、上場企業に対し、重要なサイバーセキュリティインシデントについて、重要性を判断してから4営業日以内に報告することを義務付けている。これらには米国企業と米国取引所で取引する外国発行体が含まれる。

　この開示は、投資家に対する透明性を高めることを目的としているが、企業が脅威ハンティング能力とインシデント対応手順を強化するインセンティブとしても機能する。

　この変化によって、企業には脅威を迅速に評価するための技術的専門知識を備え、それらの脅威に対応するチームを配置し、侵害が投資家や顧客にどのような影響を与えるかを正確に評価することが求められており、多大なプレッシャーがかかっている。

　多くの企業はこれを投資リスクと見なしているため「適切なポリシーと手順を整備していなければ、企業は損失を被ることになる」と証券グループSeward＆Kisselのキース・ビロッティ氏（パートナー）は語る。

　企業が効率的で収益性を高めるには攻撃を阻止し、特定し、対応するための堅牢（けんろう）なポリシーと手順を整備する必要がある。

　SECはインシデントについて適切な開示を怠ったり、誤解を招く発言をしたりした企業を調査してきた。企業はまた、自社のデータセキュリティ機能について投資家に誤解を与えたとして捜査に直面している。

　米国連邦取引委員会（FTC）は、顧客データを保護する取り組みに関して企業に対する監視を強化した。同庁は2023年11月、「住宅ローンブローカーや給料日貸付業者、自動車ディーラーを含むノンバンク金融機関は、データ侵害およびその他のセキュリティインシデントを30日以内に報告する必要がある」と発表した。

　ニューヨーク州金融サービス局などの州規制当局は同月、銀行や保険会社、その他の規制対象団体に対し、ランサムウェア支払いの報告、リスク評価の実施、強化されたサイバーセキュリティトレーニングの提供を義務付ける強化策を発表した。