サイバー攻撃をきっかけに急成長中のセキュリティベンダーが抱えるジレンマとは?Cybersecurity Dive

サイバーセキュリティへの投資は、サイバー攻撃に対する組織の懸念によって促進されているが、この市場の変化を支える逆説的な要素を強調している。

» 2024年06月18日 09時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 サイバーセキュリティビジネスは好調であり、サイバー攻撃がその成長を促進している。

サイバーセキュリティ業界はジレンマを抱えている

 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のブランドン・ウェールズ氏(エグゼクティブディレクター)は、2024年5月の初めに米国サンフランシスコで開催されたRSAのカンファレンスにおけるメディアブリーフィングで、次のように述べた。

 「私たちは、規模にして数兆ドルの不安定なテクノロジー産業を有している。これは、数十億ドル規模のサイバーセキュリティ市場が存在することを意味する」

 Gartnerによると、セキュリティおよびリスク管理に対する世界的な支出は、2024年に2150億ドルに達するペースであり(注1)、2022年の1650億ドルから30%増加している。

 サイバーセキュリティへの投資は、サイバー攻撃に対する組織の懸念によって促進されているが、この市場の変化を支える逆説的な要素を強調している。

 テクノロジーベンダーが製品やサービスのセキュリティを大幅に向上させれば、一部のセキュリティツールの必要性が低下する可能性がある。脆弱(ぜいじゃく)な基本設定や不十分なセキュリティ管理を補うシステムが使用される場面は減るかもしれないが、セキュリティツールやサービスが不要になることは決してない。

 CISAはセキュア・バイ・デザインの取り組みを通じ(注2)、セキュリティ責任の負担を顧客からベンダーに移すよう業界に働きかけている。

 2024年5月、Amazon Web Services(AWS)やCisco、CrowdStrike、Google、IBM、Microsoft、Palo Alto Networksなど、多くの一流テクノロジー企業やサイバーセキュリティベンダーが、CISAが提唱する安全な開発と運用の実践を受け入れるための自主的な誓約書に署名した(注3)。

 サイバーセキュリティベンダーは、この両輪を担っている。サイバーセキュリティベンダーは、組織の攻撃を阻止または軽減するための防御策やメカニズムを開発する一方で、顧客に対して、サイバー領域において犯罪者が活動している事実こそが、自社の提案に価値がある証拠だと指摘している。差別化された戦略で収益を追求することは、不必要な複雑さをもたらす。

 サイバーセキュリティ事業を営むRecorded Futureのアラン・リスカ氏(脅威インテリジェンスアナリスト)によると、サイバーセキュリティ業界も問題の一端を担っている。

 「実際に役立つ可能性がある1000ドル相当のものではなく、10万ドル相当のものを皆に売ろうとしているため、状況を必要以上に複雑で困難なものにしている」(リスカ氏)

攻撃と防御の同時進行

 専門家やアナリストによると、デジタルの脅威とサイバー犯罪者の行動を扇動する金銭的な報酬は厳しい状況にある。しかし専門家にとって、被害者が容認する損害の規模は依然として受け入れがたいものだ。

 連邦捜査局(FBI)によると、2023年のランサムウェア攻撃の報告件数は2825件で、2022年から18%増加した(注4)。個人情報の問題に対処する非営利団体のIdentity Theft Resource Centerによると、米国におけるデータ漏えい件数は78%増加し、2023年には3205件と過去最高を記録した(注5)。

 認証情報管理の不備、多要素認証の設定ミスや非導入、不適切なパッチ適用など、ネットワークインフラにおけるシステム的な弱点は依然として存在する。CISAによると、これらの誤りは、攻撃者が攻撃における初期アクセスを獲得するために使用する最もメジャーな誤設定の一つである(注6)。

 サイバーセキュリティ事業を営むMandiant Intelligenceのジョン・ハルクイスト氏(チーフアナリスト)は、「Cybersecurity Dive」に対して次のように語った。

 「サイバーセキュリティの専門家は、システムに摩擦を加え、時間とともに特定の戦術や技術をブロックできる。しかし、サイバー領域におけるスパイ活動や犯罪がなくなることはない。残念なことに、どのような解決策を見つけたとしても、新たな問題が発生するだろう」(ハルクイスト氏)

 サイバーセキュリティと公共の安全性の中で行われた比較のいくつかは健全であり、技術分野で応用できる教訓を特定するのに役立つ。しかし、ハルクイスト氏によると、サイバーセキュリティと安全性の間には大きな違いがあるという。

 「安全性について語るとき、一般的には物理現象と戦おうとしており、それはある程度まで予測可能な問題だ。しかしサイバーセキュリティの場合は、生きて呼吸し、思考する敵について語っているのだ。私たちが何かを改善したとしても、敵は他の機会を探すだろう」(ハルクイスト氏)

(注1)Cyber investments on pace to reach $215B in 2024: Gartner(Cybersecurity Dive)
(注2)CISA, partner agencies unveil secure by design principles in historic shift of software security(Cybersecurity Dive)
(注3)Secure by Design Pledge(CISA)
(注4)Ransomware attacks are hitting critical infrastructure more often, FBI says(Cybersecurity Dive)
(注5)US data compromises surged to record high in 2023(Cybersecurity Dive)
(注6)CISA’s top 10 misconfigurations reveal ‘systemic weaknesses’(Cybersecurity Dive)

© Industry Dive. All rights reserved.