「1300兆円の被害」は許容できない もはや後がないサイバーセキュリティ

サイバー犯罪の被害が許容できない額に達しており、この勢いが止まる見込みはない。損害が増えていくのをだまって見ているしかないのだろうか。

[Matt Kapko，Cybersecurity Dive]

　サイバー犯罪の被害額がとどまるところを知らない。毎年30％ずつ被害額が増えており、10兆ドル（約1300兆円）に達するのも時間の問題だ。どうすればよいのだろうか。

責任者が語る根本的な対策とは

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のジェン・イースタリー氏（ディレクター）はラスベガスで開催された「2023 International CES」（開催期間2023年1月5〜8日）の第1日目に、サイバー犯罪の年間被害額が一貫して増加している現状は、もはや持ちこたえることができないものだと述べた。

　サイバー犯罪は2022年、被害組織に6兆ドルの損害を与えたと同氏は語った。2023年は8兆ドル、2025年には10.5兆ドルに達すると予測されている。

　「10年後に至っても現状と同程度かそれ以上の被害額が続くことは許容できない。米国人が毎日頼りにしている重要なインフラは技術基盤に支えられている。だが、その技術基盤はサイバーセキュリティを考慮せずに作られたものだ」（イースタリー氏）

　優先順位とインセンティブが再調整されない限り、インフラのセキュリティは変わらないだろうと同氏は言う。

　数十年にわたってサイバーセキュリティを軽視した技術設計の他、産業界と政府の一貫性のない協力関係、責任の偏り、セキュアではないプロトコルの後方互換性を取ったことなどが原因で、サイバーリスクが高い状態が続いている。

　イースタリー氏は、サイバーセキュリティが基本的な問題であることを認識することから変化が始まると述べた。

　「技術開発の方向性はコストや機能、パフォーマンス、市場投入のスピードであり、サイバーセキュリティではないのだと何となく信じられてきた」（イースタリー氏）

　攻撃者に侵害された企業や、脆弱（ぜいじゃく）性にパッチを当てずに攻撃を受けた企業は当然のように非難される。だが、こうした非難を投げ掛ける人はベンダーに対して誰もが抱くべき、より大きな課題と疑問を見逃しているとイースタリー氏は指摘する。

　「なぜソフトウェアには毎週パッチを当て続けなければならないほど多くの脆弱性が存在するのか。なぜそのソフトウェアにこれほど大きな被害をもたらす脆弱性があったのか」（イースタリー氏）

　組織はセキュリティをおろそかにする技術に依存している。「こうした技術を野放しにはできない」（イースタリー氏）

CEOと取締役会は企業のリスクを管理しなければならない

　ベンダーや製造業者にサイバー責任を負わせる前にすることがある。企業内の優先順位の再調整と企業が組織レベルでリスクの責任を負う方法を変更しなければならない。

　イースタリー氏とCrowdStrikeのジョージ・カーツCEOは、イベントのパネルディスカッションで次のように語った。企業のリスクはCISO（最高情報セキュリティ責任者）やCSO（最高セキュリティ責任者）ではなく、CEOと取締役会が負うべき責任だと。

　「多くの場合、CISOのキャリア寿命は18カ月だ。予算を獲得できなかったとしても、サイバーリスクを特定できる限り、他社からオファーが来ないということにはならない。CISOはキツイな仕事だ」（カーツ氏）

　優秀なCISOの多くはたとえリスクを特定していたとしても、問題に取り組むための予算要求を認められない。いざ侵害が発生すると数カ月で解任される、と同氏は述べた。

　「CISOは企業の安全を確保するために日々奮闘している。リソースや影響力を持って当然であり、その上で優先順位を付けて、企業のリスク低減に貢献しなければならない」（イースタリー氏）

　責任の所在はさておき、サイバーセキュリティ関連の損害の見通しは暗い。イースタリー氏は予測を控えたが、カーツ氏は、どの組織や政府機関もコントロールできない重要な要素を指摘した。

　「不況になるとサイバー犯罪が増加する傾向にある。レイオフが進み、『店番』をする人が少なくなると、サイバー犯罪が増える傾向にある」（カーツ氏）

　サイバーセキュリティ部門のレイオフは最後にしなければならないようだ。最初にそこ手を付けたTwitterがどうなったかを見たらそれが分かるだろう。

出典：Tech priorities out of sync with security needs, CISA director says（Cybersecurity Dive）