2023年、セキュリティ担当者の頭痛の種となるのは?:Cybersecurity Dive
ランサムウェアで工場停止、無断で持ち出したUSBメモリの紛失、元役員による機密資料の持ち出しなど数々のセキュリティ事故が2022年を騒がせた。2023年のセキュリティトレンドはどうなる?
サイバーセキュリティについて幾つかの確かな事実がある。ランサムウェアが企業の頭痛の種となること、第三者がサイバーインシデントを引き起こすこと、そして毎年12月にはサイバーセキュリティのアナリストが、翌年に影響を及ぼすと考える予測やトレンドをまとめたリストを発表することだ。
ほとんどの予測は企業がセキュリティ体制を構築するために役立つが、トレンドはその影響が明らかになるまでゆっくりと時間をかけて構築される。時には個々の企業をはるかに超えて、社会全体に影響を及ぼすこともある。
Cybersecurity Dive編集部が、2023年の大きなトピックになるだろうと注目したセキュリティトレンド予測を幾つか紹介しよう。
中露は何を仕掛けてくる? 国家ぐるみのサイバー攻撃
国家が支援する脅威は毎年トレンドになっているが、2023年に入ってさらに脅威的な雰囲気を帯びてきている。ロシア、中国、イランといった国家ぐるみのサイバー攻撃を仕掛けてくる国は紛争に巻き込まれている。
SecureworksのCounter Threat Unitでインテリジェンスディレクターを務めるマイク・マクレラン氏は語る。「この1年間、ロシアのウクライナ侵攻、中国と欧米の関係悪化と習近平による支配強化、台湾へのさらなる圧力が目立った。イランでは反体制派の活動や内外での政権への圧力への懸念が高まっている」
これらの要因は国家が支援する脅威グループの任務と活動に影響を与え、2023年の活動に反映されるだろう。
「ランサムウェアのようなサイバー犯罪の脅威は、強固なサイバーセキュリティ防御を持たないあらゆる分野の組織にとって『機会均等』のリスクと言えるが、国家ぐるみの攻撃はさらにターゲットを絞ってくるだろう」
先に挙げた国々で政治的緊張が高まれば、それを利用して国家の支援を受けた集団が攻撃の幅を広げると予想できる。
中国はハイテク企業の知的財産を獲得することにしばしば関心を寄せている。ロシアのグループは、世界における同国の一般的な地位に対する懸念を理由に大規模な秘密諜報活動を実施するだろう。
特定のセクターや国は常に国家ぐるみの攻撃にさらされるリスクが高いが、2023年は重要インフラ、政府、ハイテク企業に対する攻撃がエスカレートする年になるだろう。
DXによって負け組企業になる落とし穴が待ち構えている
デジタルトランスフォーメーションの進展により消費者は企業とのやりとりの4分の3近くをデジタルでするようになった。そして企業が自分の個人データをどのように扱うかについて、より関心を持っている。
2023年にはデータ中心のセキュリティとプライバシーが、企業がブランドを構築する方法の基礎になると考えているのは、Deloitteのクリス・ブラッドベリ氏(米国データ・プライバシー担当リーダー、サイバー・戦略リスク担当)だ。
「ビジネスのデジタル化によって、企業は消費者とより直接的な関係を持つようになり、さまざまなチャネルでより多くのデータを収集するようになった」
新しい法律や規制の導入、当局による監視の強化、憂慮すべきニュースの増加により、消費者は企業が自分のデータをどう扱うか、消費者のプライバシーや選択肢をどう尊重しているかについて強く意識するようになった。
消費者は、データセキュリティとプライバシープログラムに関する透明性を求め、最終的には個人情報の保護に最も力を入れている企業はどこかという選択するだろう。
ブラッドベリ氏は「信頼できるデータの利用は、企業が消費者の信頼を築くことも失うこともできる主要な方法の一つだ」と話す。消費者のデータをどのように処理すべきかについてしっかりと把握できていない企業は、消費者からの信頼を守り、高めることに苦労することになり、最終的にはブランドを傷つける危険性がある。
「企業は、自分たちにとって信頼とは何かを定義し、信頼に関連する顧客の感情を追跡するための主要な指標を開発し、自分たちの行動や取り組みが時間とともにその感情にどのように影響するかを測定する必要がある」
2023年もCISOの仕事は悩ましい
重要なインフラを破壊しようとする国家ぐるみのサイバー攻撃の可能性や、企業がセキュリティを軽視したために個人情報の盗難の被害に遭うことを恐れる消費者など、これらは非常に人的コストのかかるトレンドだ。
CardinalOpsのCEO兼共同創業者であるマイケル・ムクオグル氏は、2023年は経営幹部、取締役会、監査人がビジネスリスクに関するより良いサイバーレポートを要求する年になる可能性が高いと見る。
「これらの重要なステークホルダーは、企業に重大な影響を与える可能性のある攻撃に関する防御態勢について報告するよう、CISO(最高情報セキュリティ責任者)にますます求めるようになるだろう」
出典:Cybersecurity trends in 2023 that will directly impact everyday life(Cybersecurity Dive)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「脆弱性の96%は無視できる」それってどういうこと?
工場やプラントなどの制御システム「OT」。ITとは一味ちがう、OTのセキュリティ対策のポイントを専門家が語った。
実はCEOよりも大変? サイバー攻撃対応だけではないCISOの役割とは
CISOはサイバーセキュリティの責任者だ。企業組織をサイバー攻撃から守ることが主な業務だ。だが、北米や欧州、日本などを対象とした調査によれば、次第に責任の範囲が広がっているという。
被害額X倍? ミサイルではないロシアの報復とは
米国財務省や対策サミットの発表から、ロシアのある手法による攻撃の増加と今後の対策方針が明らかになった。
なぜUberは「5700万件情報漏えい」を6年間も隠したのか?
ライドシェア企業のUberにおいて、2016年に大規模なデータ漏えい事件が発生していたことが分かった。その実態と、事件が長年明るみに出なかった理由は。